哟哟色,熟女300部,2009AV无码视频在线播放,西西一级AAA婬片扒开老师

wordpress漏洞修復方案之第三方插件漏洞
  • 更新時間:2025-05-12 14:32:35
  • 開發(fā)經驗
  • 發(fā)布時間:3年前
  • 841

wordpress系統(tǒng)本身代碼,很少出現sql注入漏洞,反倒是第三方的插件出現太多太多的漏洞,我們SINE安全發(fā)現,僅僅2019年9月份就出現8個插件漏洞,因為第三方開發(fā)的插件,技術都參差不齊,對安全方面也不是太懂導致寫代碼過程中沒有對sql注入,以及xss跨站進行前端安全過濾,才導致發(fā)生sql注入漏洞。


目前發(fā)現的wordpress漏洞插件,AdRotate廣告插件,NextGEN Gallery圖片管理插件,Give贊賞插件,這些插件使用的網站數量較多,因為開源,免費,功能強大,使用簡單,深受眾多站長們的喜歡,關于該網站漏洞的詳情我們SINE安全來詳細的給大家分析一下:看下圖的代碼

在前端進行輸入的時候,可以插入惡意的sql注入代碼,如果后端沒有對前端輸入進來的參數值進行安全過濾攔截,那么就會導致sql注入漏洞的發(fā)生,我們來看上面的一段代碼。該代碼在寫的時候,會將get中的ID,傳入后數據庫中進行查詢,沒有做任何的安全過濾導致sql注入,在wordpress最新版中以及將get、post、cookies、提交的方式進行了安全攔截,對一些非法的字符與sql注入攻擊語句加強過濾,但是還是被繞過,導致sql注入的發(fā)生,就拿adrotate插件來說,在dashboard目錄下的publisher文件夾下的adverts-edit.php代碼中第46行:

對前端來的get_ad變量只是做了簡單的html字符轉換操作,并沒有實質性的對sql語句進行攔截,導致可以執(zhí)行SQL注入代碼,獲取管理員賬戶密碼。截圖如下:

give插件,也存在漏洞,漏洞產生的原因是includes目錄下的donors文件夾里的class-give-donors-query.php代碼,在獲取訂單的函數中,沒有對其order by字符進行攔截,導致sql代碼可以到后端進行查詢數據庫,導致sql盲注。代碼如下:

關于wordpress漏洞修復辦法,建議插件的開發(fā)公司在對代碼編寫過程中,對用戶的輸入,以及提交,get,post等請求進行全面的安全過濾與安全效驗,及時的更新wordpress的版本以及插件版本升級,定期對網站代碼進行安全檢測,檢查是否存在網站木馬后門,以及webshell文件,對插件目錄可以設置安全權限部署,防止惡意篡改,對wordpress的后臺登錄做安全驗證,僅僅使用賬戶密碼還不行,還要使用另外一種方式進行驗證,短信驗證以及google身份驗證器。


我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復、物聯網開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!

本文章出于推來客官網,轉載請表明原文地址:https://www.tlkjt.com/experience/7628.html
推薦文章

在線客服

掃碼聯系客服

3985758

回到頂部
草草影院新入地址| 91精品久久人人妻人人爽| 男人和女人日逼软件| www酒色网| 91精品中综合久久久婷婷| 国产精品色丁香五月在线观看| 一道一本| 人妻精品久久久无码区| 亚洲熟妇AV一区二区三区宅男| 日韩欧美激情视频| 国产精品无码不卡亚洲| 日韩无码www| 亚洲三本三区| 国产日产欧洲无码| 丁香社区五月开心婷婷| 免费a视频中文字幕| 精品综合久久久久久久98| 欧美静品久久| 青青草国产精品推荐| 久久这里只有精品99| 国产成人精品一区二区久久| 四虎2024| 亚洲国模精品一区二区| A日本欧洲一区二区| 自拍日韩| 日本一本久久道| 欧美日韩Ww视频| 日韩久久无码免费毛片软| 一级毛片黄久久久免费视頻| 日本精品久久久久护士| 干BBBB网站| 欧美成人亚洲高清在线观看| 成人福利一区二区视频在线| 无码变态另类另类| 日本一二三四高清观看视频久久 | 中文五月婷婷| 国产区精品福利在线观看精品| 久久国产极品免费视频| 日韩在线不卡视频| 欧美黄色片久久久久| 人人爽人人澡人人人妻浪潮|