http://forum.f2blog.com/thread-6214-1-1.html

一、漏洞危害說明:
1、
主要通過離線BLOG書寫工具,透過它們的上傳一些可執行的PHPJS文件到服務器,以對服務器產生攻擊。
2、
需要使用特別的攻擊代碼,繞過管理員用戶名與密碼的檢測,才可以真正上傳可執行的文件。

二、主要防護方法:
1、
如果不需要使用離線BLOG工具,可以直接刪除xmlrpc.php文件。
2、
按以下方法更新xmlrpc.php文件。

三、主要修改如下:
1、修改metaWeblog_newMediaObject函數,增加文件擴展名的過濾,對沒有過濾的文件連接改成了首頁,但附件不會上傳到服務器上去。

2、對用戶名與密碼進行過濾,以确認用戶名與密碼的偽造登入。修改checkuser函數,對usernamepassword增加一個safe_convert函數進行有害字符進行處理。(紅色為新增內容)

xmlrpc.zip

最後修改日期: 2008 年 06 月 20 日
Related posts 相關文章
2022 年也要更新你的 WordPress
More...
如何關閉 WordPress 自動更新功能
More...
WordPress 新版 3.8 Parker
More...
WordPress 十年了
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。

9 × 1 =