WordPress Plupload插件未明跨站脚本漏洞

最新推荐文章于 2022-05-15 11:08:19 发布
最新推荐文章于 2022-05-15 11:08:19 发布
阅读量155 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/security4399/archive/2013/01/30/2883367.html
版权

漏洞名称:WordPress Plupload插件未明跨站脚本漏洞
CNNVD编号:CNNVD-201301-531
发布时间:2013-01-30
更新时间:2013-01-30
危害等级: 
漏洞类型:跨站脚本
威胁类型:远程
CVE编号: 
漏洞来源:Moxiecode

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
        WordPress中的Plupload插件早期版本至1.5.5版本中存在未明跨站脚本漏洞。攻击者利用该漏洞在受影响站点上下文中不知情用户浏览器上执行任意脚本代码,可窃取基于cookie认证证书进而发起其他攻击。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://wordpress.org/

来源: BID
名称: 57555
链接:http://www.securityfocus.com/bid/57555

转载于:https://www.cnblogs.com/security4399/archive/2013/01/30/2883367.html

weixin_30429201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
plupload.full.min.js
03-31
plupload.full.min.js插件。用于实现PHP+Ajax实现多图片上传的效果。用户只需要点击选择要上传的图片,然后图片自动上传到服务器上并立即显示在页面上。参考 http://blog.csdn.net/u014175572/article/details/51027626
常见漏洞之upload
m0_52923241的博客
03-18 634
简介 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 原理 在 WEB 中进行文件上传的原理是通过将表单设为 multipart/form-data,同时加入文件域,而后通过 HTTP 协议将文件内容发送到服务器,服务器端读取这个
文件上传漏洞(低安全版)
weixin_44188298的博客
03-01 161
一. 预备知识 二 准备工作: 中国菜刀 攻击机kali linux 靶机OWASP_Broken_Web_Apps_VM_1.2 (1) 下载地址:https://wiki.owasp.org/index.php/Category:OWASP_Download 打开靶机,在火狐上打开DVWA 第一节 文件上传基础漏洞(低安全版) 上传时没有对文件信息进行过滤和检测而导致文件上传漏洞php...
文件上传漏洞(绕过姿势)
苟有恒,必有三更眠,五更起。
12-28 3219
0X00 前言文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。文件上传校验姿势 客户端javascript校验(一般只校验后缀名) 服务端校验 文件头content-type字段校验(image/gif) 文件内容头校验(GIF89a) 后缀名黑名单校验 后缀名白名单校验 WAF设
Upload-labs文件上传漏洞(双写绕过)——Pass10
Zichel77的博客
07-28 984
0×00 题目概述 所以说是双写吗? 0×01 源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv",.
jQuery Plupload上传插件的使用
12-29
因为Plupload可配置参数比较多,所以这里讲解最常用的,结合jquery-ui展示的界面!如下: Plupload默认支持html5,flash,silverlight,html4,四种上传方式,按照顺序进行加载,如果浏览器不支持html5则会选择flash…到...
JS插件plupload.js实现多图上传并显示进度条
01-19
本文实例为大家分享了plupload.js多图上传的具体代码,供大家参考,具体内容如下 HTML代码: <!DOCTYPE html> <head> <meta charset=utf-8 /> <meta name=viewport content=initial-scale=1, ...
plupload上传插件
12-03
**plupload上传插件**是一款强大的、平台的文件上传组件,它支持多种浏览器和多种技术栈,如Flash、HTML5、Silverlight和Gears,确保在不同环境下都能实现稳定高效的文件上传功能。该插件设计的目标是提供一个统一...
Plupload文件上传插件
06-01
Plupload这个JavaScript控件可以让你选择Adobe Flash、Google Gears、HTML5、Microsoft Silverlight、Yahoo BrowserPlus或正常表单Form等多种方法进行文件上传。
Plupload插件
leon的博客
07-23 426
plupload的基本使用,单文件上传
Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行
02-09
支持利用漏洞类型: CVE-2020-2551 CVE-2020-2555 CVE-2020-2883 CVE-2016-3510 CVE-2016-0638 CVE-2017-10271 Jdk7u21 CVE-2017-3248(JRMP) CVE-2018-2628(JRMP) CVE-2018-2893(JRMP) CVE-2018-3245(JRMP) CVE-2018-3181(JNDI) CVE-2020-14882未授权访问+CVE-2021-2109(JNDI)
Webplus操作
04-25
webplus后台操作
plupload踩坑小结
陈荣亮的博客
07-12 9280
plupload踩坑小结 最近项目需要做上传,刚好是传到七牛云的,那挑选plupload是再适合不过的了。 不过东西是好东西,但毕竟不是自己写的,总会有些坑爹的地方,以下总结几点: 关于上传七牛云 上传到七牛云其实不需要用它官方的js sdk,直接用plupload。但是要记得,七牛上传是要配置token的。为了不必要的麻烦,最好要求后端做个获取配置的接口。 官方的接口例子是这样的 ...
webpluspro
ArmadaDK的博客
12-27 1419
因为帮学校做网页迫不得已接触了这个麻烦的东西,因为没有深入的了解,只能在这边记录下出现的几个问题 窗口 frag=“窗口n” 这个窗口号不能有重复的 这个frag是有嵌套顺序的 这个顺序是面板>窗口>窗口内容 portletmode 这个是这个窗口的模式,比如新闻列表什么的就是portletmode=“simpleNews” 虽然平常这个没有也能往里面拉入模式就会自动添加相应的portletmode,但是比如我要做像档案一样的那种新闻列表,就是点击或者hover一个类,能看到下面的内容,我试了一
WebPlus pro 如何新建一个网
qq_27569027的博客
05-12 2956
首先,对webplus pro做点说明 这是一个做高校网的系统,所以主要就是首页,文章列表页,文章页面三部分,其他功能需要自己写好上传。模板必须有的三个文件如下: 一、登入账号 注意点:要选中对的账户 二、选择模式 一般先选择向导模式 选择完毕之后,会有提示,可以根据提示一步一步来 三、网建设 1)栏目管理 一般表示为页面上有哪些可以点击的按钮(菜单项) 相当于建了一些文件夹,内容管理里面的文档管理中,文件夹是与此处一一对应的 2)模板管理 可以对选中的htm文件进行配置页面,编辑等 页面配置
WebPlusPro平台之(1)初次使用相关知识
熊凯瑞的博客
05-15 1726
WebPlusPro平台初认识 1、网址 WebPlus Pro平台网址:WebPlusPro个性化门户集群平台 跳转之后页面如下 2、初始页面 成功登录后,一开始进入的页面是这样的, 先看导航栏分别有五个部分, 分别是:网建设、内容管理、权限管理、组件管理、系统管理 其中,对于大学生在学校做相关网而言,接触到最多的就是网建设和内容管理以及系统管理。其它两个基本用不到,一般是学校的信息化办公室的老师会用。 3、内容 再看导航栏下的内容 也是分为三大板块 分别是:最近使用、常用以及管理向导 其中最
3种常见的渗透测试漏洞总结,快来收藏√
测试官
12-07 624
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
plupload下载
最新发布
10-25
可以自定义一个下载接口,当plupload发送下载请求时,该接口负责根据请求中的参数,获取文件的路径,读取文件内容,并发送给客户端进行下载。 例如,构建一个下载按钮的示例代码如下: ```html 下载文件 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值