seo技巧

首页> seo技巧> WordPress CMS平台中的严重DOS漏洞几乎影响所有版本

WordPress CMS平台中的严重DOS漏洞几乎影响所有版本

添加时间:2020-05-14 15:07:00

WordPress CMS平台上出现了一个简单但严重的应用层DOS漏洞,该漏洞可导致任何人在不攻击大量带宽(如DDoS攻击)的情况下,获取大部分WordPress站点,即使只有一台机器可以做到。

根据作者安装的插件和模块,脚本将通过“load”参数传递JavaScript文件名,用逗号分隔,有选择地调用所使用的JavaScript文件,如下URL所示:

Hacker News已经验证了DOS使用的真实性,并成功赢得了运行在中型VPS服务器上的WordPress示例站点。Tawily说,在500个请求之后,服务器无法继续提供相应的或返回的502/503/504状态码错误。

但是,单台机器以40 Mbps的连接速度发起的攻击不足以让另一个演示站点在具有大量计算能力和内存的专用服务器上运行。但这并不意味着该漏洞不能用于攻击运行在重量级服务器上的WordPress站点,因为应用层攻击可以用更少的数据包和带宽实现相同的目标。

因此,具有足够带宽的攻击者或僵尸可以利用此漏洞攻击大型流行站点。

除了发布所有信息,tawily还为WordPress提供DoS攻击视频。

知道DOS漏洞不包含在WordPress的漏洞奖励程序中,tawily会通过hacker one平台负责向WordPress团队报告该漏洞。然而,WordPress拒绝承认这个问题,称“确实应该在服务器或网络级别而不是应用程序级别上缓解”,并指出这超出了WordPress的控制范围。

该漏洞看起来很严重,因为WordPress驱动了29%的网络,使得数百万网站易受攻击,合法用户无法访问。

Tawily为不非法进行反应用级攻击服务的网站提供WordPress的副本版本,提供缓解措施。

但是,作者不建议用户安装修改版的CMS平台,即使它来自原始作者以外的可信来源。此外,tawily还发布了一个简单的bash脚本来解决这个问题。

本文初由360代码卫士翻译。请与安全来宾联系重新打印并注明来源。

上一篇: 企业网站建设的目的

下一篇: SEO新手必备的基本知识!

技巧精选

热门推荐

联系我们

咨询热线:0571-88730320

联系地址:杭州市余杭区华立云立方3-605

联系人:搜骐团队

关注我们

产品与资讯

CMS建站 SEO计费结算 套餐 加盟合作 关于我们 行业动态 seo技巧 建站知识

备案号:浙ICP备15036601号    公安网络安全备案号:浙公网安备 33011002012960号