wordpress acf字段怎么全站调用_渗透技巧:通过Post Types进行WordPress提权

最新推荐文章于 2020-12-12 17:31:58 发布
最新推荐文章于 2020-12-12 17:31:58 发布
阅读量368 收藏
点赞数
文章标签: wordpress acf字段怎么全站调用 wordpress wpdb->update 能获取更新的id嘛? wordpress yoast调用自定义类型 wordpress 管理员邮箱改不了 wordpress漏洞 wordpress直接处理$_post

最近发现WordPress创建博客的方式存在逻辑漏洞,攻击者利用该漏洞可以访问只有管理员才可以访问的特征。这会导致WordPress内核产生存储型XSS和对象注入等漏洞。

影响
WordPress是博客软件的核心,允许用户创建和发布博客。随着时间的推移,产生了不同的post类型,比如页面和图像、视频等。插件可以注册新的post类型,比如产品和联系人表单。根据插件注册的post type的类型,可以提供不同的特征。比如通讯录form插件可能允许用户用文件上传域来常见一个联系人form。创建联系人form的用户可以定义允许上传的文件类型。恶意用户可以允许上传php文件,然后在站点上执行任意代码。但这并不是一个问题,因为插件可以限制对post类型的访问。下面要讲的权限提升就允许低权限用户绕过wordpress应用的安全检查,并创建任意类型的post,误用定制的post类型的特征。最终导致WordPress core产生存储型XSS和对象注入漏洞。根据安装的插件,还有更严重的漏洞可以利用。
技术背景
为注册新的post类型,插件必须要用新的post类型和一些meta信息来调用register_post_type()。

740a746a359764839a10d699fba6d5f2.png


为什么定制的post类型是安全的?
每个post类型都有自己的编辑页面,比如 http://example.com/wordpress/wp-admin/?page=example_post_type_editor

最低0.47元/天 解锁文章
weixin_39658726
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
acf-fluent::black_nib:高级自定义字段WordPress插件的流畅界面
02-05
它使主题开发人员能够使用表达力强,流畅的界面创建自定义字段“查询”,从而轻松进行ACF模板制作。为什么? 如果您在WordPress模板中大量使用“高级自定义字段”(应该这样做),那么您可能会发
acf-openstreetmap-field:OpenStreetMap的WordPress ACF字段
02-05
ACF OpenStreetMap字段这是插件的官方github存储库。关于ACF中的可配置OpenStreetMap或Leaflet字段。 需要ACF 5.7+产品特点可配置的地图块供程序可选地图叠加层多个标记即用型HTML输出和JS事件自定义地图标记。...
wordpress acf字段怎么全站调用_如何给WordPress网站设置CDN:Cloudflare教程
weixin_39675926的博客
11-23 361
现在的网站动态效果越来越好,内容也越来越丰富。如果你的网站是针对全世界而不仅仅是中国,当世界其他地方的用户访问你的网站时,网站的加载速度可能会很慢。这可能会导致用户放弃访问你的网站。而且现在的网页平均大小是2MB,几乎是2015年数据的2倍。而且网站的加载速度会直接影响网站的SEO效果和用户体验。而使用CDN(内容分发网络)是缩短网页加载时间最好的办法之一。不过我们有很多种方法可以做到这...
wordpress acf字段怎么全站调用_给wordpress添加函数,修改文章图片链接指向,避免出现404错误...
weixin_39533742的博客
12-12 161
最近,我的wordpress网站出现了一个小问题——点击文章内容中的图片,会跳出404错误页面(如下图),这是怎么回事?为什么没有指向原图的链接?该怎样解决这个问题? 404错误页面解决方法无非有2种:去掉图片链接或修改图片链接地址。我们都知道,百度等搜索引擎都特别喜欢图片,在我们的文章被收录后,如果文章内容中的图片都带有原图的链接,那么,这些原图也有可能被搜索引擎收录。所以,我决定:还是把wor...
wordpress acf字段怎么全站调用_WordPress文章中嵌入代码的插件Code Embed
weixin_39963440的博客
12-08 505
Code Embed 插件允许我们将代码(JavaScript 和 HTML –不能用于服务器端代码,例如 PHP)嵌入到文章中,而无需编辑者更改内容。这对于嵌入第三方脚本等非常有用,而且该插件被包括 Mozilla 在内的许多大型网站使用。Code Embed插件的安装及启用登录 WordPress 后台 >> 插件 >> 安装插件 >> 搜索“Co...
wordpress acf字段怎么全站调用_wordpress无法上传图片至wp-conten/uploads
weixin_39665787的博客
12-12 90
我在百度上搜索好多的教程进行尝试操作就要不是不行就是太麻烦。大概错误问题:wordpress文件夹的限不够,不能创建目录。网友说法(1)将wp-content/及其下的限全部改为777其实这个想法是没有错的,只不过改wp-content没用,创建文件夹的代码不在wp-content里面。所以wp-content限再怎么改也是会报错的。方法一:将整个wordpress/及其下的限全部改为77...
wordpress acf字段 调用不同的样式_WP主题开发17:给wordpress主题trans添加主题设置页面#学浪计划#...
weixin_39725154的博客
12-12 255
在前面的章节中,我们已经完成了wordpress主题trans的前端页面的动态模板的创建,我们创建了公共模板:头部模板、侧边栏模板、底部模板,我们完成了首页模板、列表页模板、文章详情页模板。但是,有一些细节问题,我们还没有处理好,如:logo图片如何修改?底部的一些信息如何修改?网站的关键词与描述在哪添加?当然,这些东西,我们可以手动添加到模板代码中,但是,在后期操作中就比较麻烦,难道每次修改时,...
acf-to-rest-api:在WordPress REST API中公开高级自定义字段端点
01-30
通过插件管理页面激活ACF to REST API插件 终点 终点 可读的 可编辑的 / wp-json / acf / v3 / posts / wp-json / acf / v3 / posts / {id} / wp-json / acf / v3 / posts / {id} / {field-name} / wp-json / acf...
gatsby-wordpress-themes::artist_palette:Gatsby WordPress主题
02-03
:artist_palette: 使用解耦架构的WordPress的Gatsby主题。 React的前端 WordPress后端。 *** ‍:laptop_computer: ... 如果您希望主题支持页面并使用elementor和sidebar进行构建,则还可以设置GATSBY_ELEMENTOR_SUPP
ACF-工具:高级自定义字段代码变得简单! :raising_hands:
01-30
如果有您要ACF工具支持的字段,请。安装Chrome网上应用店您可以,但请记住,该版本可能比Github上的版本早2-4天。Firefox浏览器附加组件您可以。贡献翻译我需要您的翻译帮助分叉此存储库。 在src/_locales/...
wp-cli-dbsync:将远程wordpress数据库同步到本地实例
05-11
WP-CLI DB同步 远程到本地数据库导入工具,用于wp-cli 这是的wp-cli命令版本 安装 composer require timneutkens/wp-cli-dbsync:^1.0.0 配置 此命令使用 。 要开始使用,请按照他们的说明设置远程主机: 如所示,在您的wp-cli.yml / wp-cli.local.yml添加一个ssh部分。 您可以为每个要连接的主机指定ssh命令模板。 模板变量%cmd%已替换为在服务器上运行的完整命令。 %pseudotty%模板变量将替换为-t / -T具体取决于您使用的是TTY还是管道输出命令。 有关逐步指南,请参阅 。 现在,您可以运行以下命令: wp dbsync <host> 该命令将导入数据库。 之后,它将使用wp search-replace搜索将旧的原始URL替换为新的原始URL。 将使用wp
WordPress模板层次05:style.css样式表
编辑编辑器
07-08 2735
所有WordPress主题都包含一个名为style.css的样式表。它不仅包含主题所需的主要CSS样式代码,还有在其文件顶部的注释中的:主题的元数据信息。 拖动主题到 Sublime Text 编辑器 由于我们将会全面的讲解主题的模板层次结构,所以,把主题文件夹拖入到了 文本编辑器 Sublime Text 中会极大的方便代码操作。 style ...
wordpress acf字段 不同样式_WordPress入门 之 WordPress基本设置
weixin_39877166的博客
12-12 335
前面说了 如何安装WordPress,接下来我们需要快速熟悉WordPress,以及进行一些必要的基本设置。开始设置之前,建议大家先点击一篇左边菜单栏的每一个选项,看看到底是做什么用的。下面开始说一下一个新的WordPress站点应该要进行的一些最基本的设置。一、设置个人资料建议大家完善一下自己的基本信息,因为有些WordPress主题是会调用到这里的信息的。打开 用户 – 我的个人资料:需要注意...
wordpress acf字段 不同样式_WordPress强大搜索功能如何实现?安装Ivory Search插件
weixin_39843782的博客
12-12 360
我们 WordPress 站点大多数的搜索功能都是自带的功能,少部分 WordPress 主题会集成有强大的搜索功能,对于不懂折腾代码的新手站长而言如何让自己的 WordPress 站点拥有强大的搜索功能呢?其实我们完全可以安装一款搜索插件实现——Ivory Search 插件。Ivory Search 插件的描述Ivory Search 是一个简单易用的高级 WordPress 搜索插...
wordpress acf字段 不同样式_WP主题开发20:怎样给wordpress主题添加版信息?#学浪计划#...
weixin_39587407的博客
12-06 218
通过前面19课的讲解,本届wordpress主题开发课程就要接近尾声了。前台的主题模板的布局和数据调用,后台的主题设置,我们都已经完美地完成了,所有的工作我们几乎已经全部做完。对于一个普通的wordpress主题模板开发者来说,这样已经算是完工了,因为,主题的主要功能,我们都已经实现。但是,如果你开发的wordpress主题,想要发布到wordpress官网的主题库供其它wordpress用户使用...
wordpress acf字段 调用不同的样式_WordPress法律合规插件曝出漏洞,影响70万用户...
weixin_39623671的博客
12-05 77
转载:nosec 作者:tianqi1近日,超过700000个网站所使用的WordPress GDPR Cookie Consent插件修复了一个高危漏洞,可让攻击者非法删除和更改网站内容,并往网站注入恶意JS代码(由于访问控制不当)。GDPR Cookie Consent plugin可帮助网站管理员展示可定制的位于页眉或页脚的Cookie项目,以显示其网站符合欧洲所指定的数据保护法律GDPR的...
ACF attributes in the IDL file need the /app_config switch : [implicit_handle]
最新发布
06-08
这个错误示是因为IDL文件中使用了ACF(Attribute Configuration File)属性,但编译器没有找到相应的ACF文件。要解决这个问题,需要在编译IDL文件时添加/app_config开关,告诉编译器去查找ACF文件。 在Windows...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值