WordPress 3.xx 跨站脚本漏洞安全补丁插件下载

大陆翻墙直连https://bit.ly/jinews 翻墙软件下载,如何翻墙,怎么翻墙,怎样翻墙,facebook翻墙,翻墙网站,翻墙工具,youtube翻墙,翻墙代理
  • Advertisement
本贴由热心网友分享,或收集于网络,如侵犯您的权益,请及时联系我们删除。如发现其它问题,请点帖子右上角的倒三角图标举报该帖。

WordPress 3.xx 跨站脚本漏洞安全补丁插件下载

帖子admin » 2014-11-29 20:21

近日,芬兰资安业者Klikki Oy发现知名的免费架站平台WordPress 3版本含有重大安全漏洞,骇客可以利用跨站指令码(Cross-site scripting, XSS)攻击接管网站管理员的权限,进而在网站上注入各种恶意程式。根据WordPress今年11月的估计,目前3.x版使用率约占WordPress的85.6%,因此全球可能超过5000万个WordPress网站受到该漏洞影响,建议使用者立即更新到最新版的WordPress版本。

发现这个漏洞的Klikki Oy研究人员Jouko Pynnonen表示,该漏洞允许骇客在特定的文字栏位中注入程式码,通常是WordPress网站上文章或网页的评论(迴响,或回应)区域,WordPress上的预设值为任何人都可以评论或回应,而且不需登入或验证。

骇客能够在回应中注入夹杂程式码的内容,当目标对象透过管理员仪表板读取该评论时,就会触发恶意程式以接管管理员的帐号,之后便能执行各种管理员权限,包括更改管理员密码、建立新的管理员帐号,甚至在伺服器上执行攻击程式。

Klikki Oy已开发出概念性攻击程式,指出此一漏洞让骇客不需登入就能嵌人恶意程式,同时还能造成伺服器伤害,这也是WordPress自2009年以来最严重的漏洞。WordPress是在2010年6月释出WordPress 3.0版本,4.0则于今年的9月发表,显示该漏洞已存在4年,影响3.0~3.9.2。不过,此一漏洞并未波及最新的4.0版。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响,可让匿名使用者感染网站。该漏洞是由Jouko Pynnonen所发现。

虽然WordPress 4.0不受该漏洞影响,但4.0.1另外解决了23隻臭虫,共八项的安全问题。WordPress官网在释出WordPress 4.0.1的说明中表示,这次版本释出属重大的安全更新,建议所有较旧的WordPress版本都立即更新。

令人吐槽的是,WordPress官方只提供 升级至 4.0.1 版的解决方案,截至目前尚未提供专门针对wordpress 3.xx的修复补丁,这真的是很令人遗憾,要知道升级到 4.0.1 版后,原来使用的很多插件,甚至主题都可能不再兼容,很可能出现各种问题,所以升级至4.0.1 版一般是不太现实啊。

不过本站这里提供一个插件,可以修复该安全漏洞。在提供插件下载之前,当然本站已经修复了该漏洞,并针对此问题进行了全方位多角度的安全防范。 该插件的原理是禁用wordpress的 texturize 功能。texturize 功能会自动把文章或评论总的诸如 "--" 之类的符号自动替换成 "—" 等全角字符,这个功能应该和script没关系,可以安全禁掉的。关于这个漏洞的更多细节,可以访问这里:http://klikki.fi/adv/wordpress_press.html    
附件
WordPress 3.xx 跨站脚本漏洞安全补丁插件.zip
(3.29 KiB) 被下载 32 次
附件下载由热心网友分享,或收集于网络,如果侵犯您的权益,请及时联系我们删除。
头像
admin
网站管理员
网站管理员
 
帖子: 1713
注册: 2011-06-12 14:36

Re: WordPress 3.xx 跨站脚本漏洞安全补丁插件下载

帖子admin » 2014-11-29 20:56

WordPress 常用函数 / wptexturize 简介

简介

将纯文本字符转换成格式化的 HTML 实体。
<PRE>,<CODE>,<kbd>,<STYLE>,<script>和<tt>中的文本被忽略。
用法

<?php wptexturize( $text ); ?>

参数

$text
(string) (required) 将被格式化的文本
Default: None
返回值

(string)
被替换成HTML数字实体字符的文本。
注解

开启和关闭引号将在 WordPress 翻译文件中被定义,下面是 wptexturize 做的转换。
原始文本 转换之后的文本 符号名称
"---" "—" em-dash | 破折号
" -- " "—" em-dash | 破折号
"--" "–" en-dash | 连接号
" - " "–" en-dash | 连接号
"xn–" "xn--"
"..." "…" ellipsis | 省略号
`` “ opening quote | 开启引号
'' ” closing quote | 关闭引号
" (tm)" " ™" trademark symbol | 注册商标符号
1234" 1234″ double prime symbol | 双撇号
1234' 1234′ prime symbol | 撇号
1234x1234 1234×1234 multiplication symbol | 乘法符号
头像
admin
网站管理员
网站管理员
 
帖子: 1713
注册: 2011-06-12 14:36


回到 翻墙软件下载 如何翻墙 翻墙网站

 

在线用户

正在浏览此版面的用户:没有注册用户 和 9 位游客

  • Advertisement
安卓禁书