WordPress存在DoS拒绝服务漏洞,推荐删除根目录下的xmlrpc.php

最新推荐文章于 2024-08-27 19:15:39 发布
最新推荐文章于 2024-08-27 19:15:39 发布
阅读量270 收藏
点赞数
文章标签: 操作系统 php

WordPress存在DoS拒绝服务漏洞,推荐删除根目录下的xmlrpc.php
受影响的版本:
WordPress 3.9.x-3.9.1
WordPress 3.8.x-3.8.3
WordPress 3.7.x-3.7.3
WordPress 3.6.x
WordPress 3.5.x
漏洞描述:
没有限制xml中的参数数量,导致攻击者可以远程注入恶意xml,对目标服务器直接造成拒绝服务攻击denial of service(dos)
修复方案:
1、删除根目录下的xmlrpc.php(推荐);
2、Wordpress升级到最新版本。

weixin_34259159
关注
复现WordPress xmlrpc.php漏洞和SSRF
记录并分享学习安全的知识点..
04-02 1982
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保。 SSRF(服务器端请求伪造) SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为 它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定UR...
xmlrpc.php 漏洞利用
墨痕诉清风的博客
10-10 8057
WordPress采用了接口.并且通过内置函数实现了该接口内容。所以,你可要通过客户端来管理Wordpress。通过使用WordPress XML-RPC, 你可以使用业界流行博客客户端来发布你的WordPress日志和页面。同时,XML-RPC 也可使用插件来自定义你的规则。
WordPress 3.8.1 /xmlrpc.php拒绝服务漏洞
weixin_30376323的博客
03-27 388
漏洞版本: WordPress 3.8.1 漏洞描述: WordPress是一款内容管理系统。 WordPress 3.8.1 /xmlrpc.php 文件有ping其他主机的功能,通过这个功能可以请求多个站点,DDOS攻击别的网站。 <* 参考 http://blog.sucuri.net/2014/03/more-than-162000-wordpress...
wp trackback.php,WordPress Trackback脚本拒绝服务漏洞
weixin_39917211的博客
03-12 131
影响版本:WordPress < 2.8.5漏洞描述:WordPress是一款免费的论坛Blog系统。WordPress的wp-trackback.php脚本允许用户向mb_convert_encoding()函数提交多个源字符编码。如果远程攻击者在提交的HTTP请求中包含有超长的标题参数和由多个逗号分隔的UTF-8子字符串所组成的字符集参数,就可以占用大量CPU资源。测试方法:本站提供程序...
WordPress ‘crypt_private()’方法远程拒绝服务漏洞
weixin_30443731的博客
06-20 93
漏洞名称: WordPress ‘crypt_private()’方法远程拒绝服务漏洞 CNNVD编号: CNNVD-201306-250 发布时间: 2013-06-20 更新时间: 2013-06-20 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CV...
wordpress xmlrpc.php 漏洞,关于WordPress xmlrpc.php Pingback缺陷与SSRF攻击
weixin_29207533的博客
03-10 855
前两天我因为web2hack.org挂了,而分析到原因,当时有些思路,想追踪下去,不过不明确,后来发现WordPress最新版3.5.1出来了,我看到官方说修补了几个安全问题(http://codex.wordpress.org/zh-cn:3.5.1_%E7%89%88%E6%9C%AC),其中有一条引起我的注意:通过Pingback实现的服务器端请求伪造 (Server-side reques...
WordPress xmlrpc.php SSRF漏洞复现
god_Zeo的安全博客
11-23 3687
0x01 WordPress xmlrpc.php 存在SSRF漏洞 通过Pingback可以实现的服务器端请求伪造 (Server-side request forgery,SSRF)和远程端口扫描。 0x02影响版本 WordPress 版本< 3.5.1 造成的影响 1、可以对业务内网进行探测。 2、攻击运行在内网或本地的应用程序(比如溢出攻击)。 3、利用file协议读取本地文件等 0x03漏洞验证 第一步:直接访问这个文件,初步判断 第二步:发现POC验证数据包 需要修改三处地方:例如:w
针对WordPressxmlrpc.php暴力破解攻防
秋̶᭄ꦿ攻城狮࿆ྂ
04-02 1872
绪论 通常wordpress登录接口都是做了防暴力破解防护的,利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。xmlrpc.php或可导致拒绝服务 利用原理 Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的 blog 系统,都支持 Pi...
【网络安全】XML-RPC PHP WordPress漏洞
最新发布
等风来
08-27 338
本文将解释xmlrpc.php WordPress 漏洞及利用方式,并以三种攻击方法进行阐发:1、用户名枚举。2、跨站点端口攻击 (XSPA) 或端口扫描。3、使用 xmlrpc.php 进行暴力攻击。
WordPressxmlrpc.php完整指南(功能、安全风险、如何禁用)
06-18 1937
XML-RPC是支持WordPress与其他系统之间通信的规范。它通过使用HTTP作为传输机制和XML作为编码机制来标准化这些通信来实现此目的。XML-RPC早于WordPress:它出现在b2博客软件中,该软件于2003年创建了WordPress。该系统的代码存储在站点根目录下的xmlrpc.php文件中。即使XML-RPC在很大程度上已经过时,它仍然存在。在WordPress的早期版本中,默认情况下已关闭XML-RPC。但是从3.5版开始,默认情况下已启用它。
WordPress:解决xmlrpc.php被扫描爆破的风险
极乐数据
12-01 1311
利用宝塔规则优先级:UA白名单> UA黑名单> URL关键词拦截> IP白名单 > IP黑名单 > URL白名单 > URL黑名单 > CC防御 > 禁止境外IP访问 >User-Agent > URI过滤 > URL参数 > Cookie > POST。使用WordPress的朋友都知道,一些【垃圾渣渣】会利用xmlrpc.php文件来进行攻击,绕过WP后台错误登录次数限制进行爆破。设置好后,除了特定的UA访问,其他访问该文件都是403。我们可以直接删除xmlrpc.php文件中的代码。
wordpress优化禁用xml-rpc删除xmlrpc.php防止暴力破解
帅气的可乐
08-16 6403
在functions.php的文件头部加入如下代码: add_filter('xmlrpc_enabled','__return_false'); 如图所示,添加OK后,点击更新按钮即可,这样就关闭XML-RPC功能。 如何知道自己是否禁止成功,在wordpress的安卓客户端的程序日志可以看到“本站点禁用XML-RPC服务”的红色字样,记得删除服务器里的xmlrpc.php。 当然还
wordpress博客遇到的那些坑(一)xmlrpc漏洞
weixin_33897722的博客
10-23 3031
2019独角兽企业重金招聘Python工程师标准>>> ...
php xmlrpc
yihaoxue的博客
01-16 266
Web Service就是为了异构系统的通信而产生的,它基本的思想就是使用基于XML的HTTP的远程调用提供一种标准的机制,而省去建立一种新协议的需求。目前进行Web Service通信有两种协议标准,一种是XML-RPC,另外一种是SOAP。XML-RPC比较简单,出现时间比较早,SOAP比较复杂,主要是一些需要稳定、健壮、安全并且复杂交互的时候使用。PHP中集成了XML-RPC和SOAP两...
emlog rss.php,emlog伪静态设置-我的建站第一天 - 慕轲博客-建立自己的个人自媒体博客...
weixin_30608641的博客
03-23 274
由于我住的地方网络比较卡,大的引擎比较卡,打开慢,果断选择emlog这款cms建了个个人博客,那么刚用问题就来了,什么问题呢?建站的人都知道,网站一般都要做静态或者伪静态的,emlog不支持静态,那就只能伪静态了,后台有设置,果断设置,进入管理后台,点击右上角设置->seo设置,我的设置截图如下:没错,这么简单肯定是没有错,但是网页却出了问题,不废话了,贴图;由于我还没设置404页面,所以提...
拯救xmlrpc.phpWordPress瘫痪的的六种办法
511遇见
09-03 4101
今天对于我来说是个战斗的日子,上午发布完文章后,很快3 add_filter('xmlrpc_enabled', '__return_false'); 60好搜就收录了,但在打开网页的时候,卡主了,没有反应,快速的重启Apache,马上恢复,但过了几分钟,网站又打不开,干脆重启服务器,问题得到解决,过了一会,悲剧再次发生,查看网站防护日志,原来有个IP不停的访问xmlrpc.php文件,造成服务器瘫痪,也就是说对方在放大型暴力猜解攻击,应该是传说中的xmlrpc暴力破解密码导致,原因在于使用的wo.
拒绝服务攻击
William234的博客
06-30 6969
                                                               拒绝服务攻击     拒绝服务攻击(英语:denial-of-service attack,缩写:DoS attack、DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。 当黑客使用...
wordpress xmlrpc.php 漏洞,[分享]WordPress xmlrpc.php 被不断请求导致CPU爆表 解决方法 | 霸王硬上弓's Blog...
weixin_29955195的博客
03-10 581
最近服务器的CPU总是爆满,通过日志文件发现大量来自国外的IP疯狂请求 xmlrpc.php 这个文件。通过查询,该文件的作用如下:WordPress采用了XML-RPC接口.并且通过内置函数WordPress API实现了该接口内容。 所以,你可要通过客户端来管理WordpressWordPress 同时也支持如下几种API:Blogger API, metaWeblog API, Mova...
WordPress 后台插件更新模块任意目录遍历导致DOS漏洞和IP验证不当漏洞
ITkeke的博客
08-22 1567
最近倡萌频繁收到阿里云的两个漏洞提示,相信很多使用阿里云服务器的朋友也会收到:  WordPress 后台插件更新模块任意目录遍历导致DOS漏洞  WordPress IP验证不当漏洞  修复这两个漏洞的最直接的办法就是马上升级到 WordPress 4.6.1 版本即可!  下面还是简单说说这两个
xmlrpc.php 漏洞
06-01
攻击者可以使用这个漏洞来进行各种攻击,如代码执行、文件读取、SQL 注入、拒绝服务等。 要防止 xmlrpc.php 漏洞,应该采取以下措施: 1. 禁用 xmlrpc.php 文件,或者限制其访问权限。 2. 更新 Web 应用程序到最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值