亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

利用xmlrpc.php對WordPress進行暴力破解攻擊

  近幾天wordpress社區的小伙伴們反映遭到了利用xmlrpc.php進行暴力破解的攻擊。利用xmlrpc.php提供的接口嘗試猜解用戶的密碼,可以繞過wordpress對暴力破解的限制。已經發現了大規模的利用,啟用了xmlrpc的同學需要盡快修復。安裝或者升級Login Security Solutin插件

  通常wordpress登錄接口都是做了防暴力破解防護的,比如freebuf的登錄只能有嘗試5次。

  這種利用xmlrpc.php的攻擊可以繞過這些限制。攻擊的方式直接POST以下數據到xmlrpc.php.

  <?xml version="1.0" encoding="iso-8859-1"?>

  

  wp.getUsersBlogs

  

   username

   password

  

  

  其中username字段是預先收集的用戶名。password是嘗試的密碼。關于getUsersBlogs接口的更多信息可以參考官方的指南。如果密碼正確,返回為:

  密碼錯誤返回為403:

  使用intruder進行測試,發現服務端沒有進行限制。

 

上一篇:智能無懼挑戰 山石網科轟動RSA2015

下一篇:GeekPwn,走進黑客世界