WordPress相片插件引发骑劫账户危机
消息来源:baojiabao.com 作者: 发布时间:2024-05-17
WordPress 是现时不少新闻网站所采用的内容管理系统,假如它有什么漏洞,可能会危害不少网站。最近 WordPress 一个颇受欢迎的相片插件就被发现含有一个可以让攻击者夺取账户的漏洞,危害到网站的安全。
今次发现 WordPress 插件漏洞的,是日本的的“情报处理推进机构( IPA )”,他们发现一款很受欢迎的相片插件“ Responsive Lightbox ”含有可以执行任何脚本代码的“ Cross Site Scripting ( XSS ) ”漏洞,可以让攻击者截取到目标对象的登入资料,从而取得受保护的资料、私自贴文,甚至骑劫账户。呼吁 WordPress 管理人立即更新有关的插件以免受害。
今次的攻击手法称为“反射型 XSS”,攻击者会以有漏洞的网站网址,插入可以在浏览器执行的 Javascript 恶意程式码,来造出一条攻击连结。然后会以电邮等方式引诱目标对象对按下那连结。由于网址正确,受害者在不虞有诈的情况下用那连结登入有漏洞的 WordPress 网站的话,虽然网站本身不会执行那恶意脚本,但在回应受害者时“反射”恶意脚本给受害者,令受害者的浏览器执行恶意脚本,例如将受害者的登入资料(如 Cookie )传到攻击者那边,攻击者就有机会截取受害者的登入状态来进行下一步行动。
反射型 XSS 的攻击手法
- 攻击者将恶意脚本插入网址制成连结
- 将连结寄给受害者
- 受害者透过连结登入有漏洞的 WordPress 网站
- 网站将恶意脚本“反射”给受害者
- 受害者的浏览器执行恶意脚本,将登入资料传送给攻击者
所以大家在收到含有连结的电邮时,一定要格外小心,尤其是在连到需要登入的网站时,以免误将连结中的恶意脚本传到网站而“反射”到自己的浏览器。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11