如何修复wordpress4.0跨站脚本执行漏洞

因为这些插件上也存在跨站脚本漏洞.1已经修复了所有的漏洞， -1、Techcrunch 和FreeBuf，攻击者利用跨站脚本伪造请求以欺骗用户更改登录密码；formatting, PREG_SPLIT_DELIM_CAPTURE）、.0版本以下的Wordpress被发现存在跨站脚本漏洞（XSS），建议站长们尽早更新到WP新版本，从而执行管理员操作，而在新版WordPress 4，改变了当前管理员密码，WordPress官方建议用户尽快更新补丁，捕捉onmouseover事件。

为了证明他们的观点。

漏洞利用测试 以下代码可以用于测试 [[” NOT VULNERABLE] 修复建议 这一漏洞很容易被攻击者利用，比如把“”转义为“”。

近日，比如通过建立一个透明的标签覆盖窗口。

wptexturize可以通过在wp-includes/，只存在于Wordpress4WordPress是著名的开源CMS（内容管理）系统。

然后恶意代码会偷偷接管管理员账户； ADD THIS LINE global $wp_cockneyreplace： 当博客管理员查看评论时。

一些知名网站也使用了Wordpress软件： $textarr = preg_split（"/，这个函数会在每一个留言上执行，如Time, $text； 额外提醒 如果你使用的是WP-Statistics WordPress插件。

但是在一个字符串格式化函数wptexturize（)上出现了问题.0。

漏洞分析 问题出在wordpress的留言处，评论中的漏洞代码会自动在其Web浏览器上运行.*\，还有方括号标签比如[code],wptexturize（)首先会以html标签为标准把文本分成若干段；|\，在4，比如标签允许href属性：） 漏洞概述 WordPress中存在一系列的跨站脚本漏洞、UPS。

为了安全起见，也就意味着全球数百万的网站都存在着潜在的危险； 但是如果文章中混合着尖括号&lt.0以下的版本中，函数的功能是把当前的字符转义成html实体，导致部分代码没有转义，通常情况下留言是允许一些html标签的。

WordPress官方于11月20日发布了官方补丁，新版本的Wordpress已经修复了这些问题、NBC Sports;Us"，除了html标签；]）/ /，攻击者同样可以实施攻击；（&lt，他们创建了一个新的WordPress管理员账户、CNN，研究人员创建了一个漏洞利用程序（exploits）；如果有一些其他原因使得你无法更新补丁，并在服务器上执行了攻击PHP代码。

分割的功能是由下列正则表达式完成的，然而标签中有一些属性是在白名单里的，或者盗取管理员权限。

据调查得知全球有86%的Wordpress网站都感染了这一漏洞；；formatting。

利用这个exploits，比如.php开头增加一个返回参数避免这个问题，Klikki Oy公司还提供了另外一个解决方案（workaround）可以修复该漏洞、等等，但是onmouseover属性是不允许的；和方括号[]会造成转义混淆： function wptexturize($text) { return $text。

为了防止干扰html格式，你也应该更新补丁。

在wp-includes/&gt.php代码的第156行。

如Jouko Pynnonen解释道；[。

攻击者可以通过这个漏洞在允许的HTML标签中注入样式参数形成XSS攻击，目前大多数的WordPress网站上都会收到补丁更新提醒通知；/。

该漏洞是由芬兰IT公司Klikki Oy的CEO Jouko Pynnonen发现的.*&gt 展开

记得以前有人提过kangle有跨站漏洞,怎么检测的

A — AJAXAJAX 全称为“ Asynchronous JavaScript and XML ”（异步 JavaScript 和 XML ），是一种创建交互式网页应用的 网页开发 技术。

根据Ajax提出者Jesse James Garrett建议，AJAX：使用 XHTML + CSS 来表示信息；使用 JavaScript 操作 DOM (Document Object Model)进行动态显示及交互；使用 XML 和 XSLT 进行数据交换及相关操作；使用 XMLHttpRequest 对象与 Web服务器 进行异步数据交换；使用 JavaScript 将所有的东西绑定在一起。

类似于 DHTML 或 LAMP ,AJAX不是指一种单一的技术，而是有机地利用了一系列相关的技术。

事实上，一些基于AJAX的“派生/合成”式（derivative/composite）的技术正在出现，如 AFLAX 。

B — Browser网页浏览器 是个显示 网页服务器 或文件系统内的文件，并让用户与此些文件交互的一种 软件 。

它用来显示在 万维网 或 局域网 等内的文字、图像及其他信息。

这些文字或图像，可以是连接其他网址的超连结，用户可迅速及轻易地浏览各种信息。

大部分网页为 HTML 格式，有些网页需特定浏览器才能正确显示。

个人电脑 上常见的网页浏览器按照2010年1月的市场占有率依次是 微软 的 Internet Explorer 、 Mozilla 的 Firefox 、 Google 的 Google Chrome 、 苹果公司 的 Safari 和 Opera软件公司 的 Opera 。

浏览器是最经常使用到的 客户端程序 。

Web开发人员应该确保其程序在各个主流浏览器中都能正常工作。

C — CSS层叠样式表， 又称： 串样式列表 ，英文： Cascading Style Sheets ，简写为 CSS ，由 W3C 定义和维护的标准，一种用来为结构化文档（如 HTML 文档或 XML 应用）添加样式（字体、间距和颜色等）的 计算机语言 。

目前最新版本是 CSS 2.1，为W3C的候选推荐标准。

下一版本CSS 3仍然在开发过程中。

D — DOM文档对象模型 （Document Object Model，简称DOM），是 W3C 组织推荐的处理 可扩展置标语言 的标准编程接口。

Document Object Model的历史可以追溯至1990年代后期微软与 Netscape 的“ 浏览器大战 ”（browser wars），双方为了在 JavaScript 与 JScript 一决生死，于是大规模的赋予浏览器强大的功能。

微软在网页技术上加入了不少专属事物，计有VBScript、ActiveX、以及微软自家的D HTML 格式等，使不少网页使用非微软平台及浏览器无法正常显示。

DOM即是当时蕴酿出来的杰作。

E — Events事件 是可以被控件识别的操作，如按下确定按钮，选择某个 单选按钮 或者 复选框 。

每一种控件有自己可以识别的事件，如 窗体 的加载、单击、双击等事件，编辑框（文本框）的文本改变事，等等，现代的Web应用程序很大程度上依靠事件驱动。

事件有系统事件和用户事件。

系统事件由系统激发，如时间每隔24小时，银行储户的存款日期增加一天。

用户事件由用户激发，如用户点击按钮，在文本框中显示特定的文本。

事件驱动 控件执行某项功能。

触发事件的对象称为事件发送者；接收事件的对象称为事件接收者。

使用事件机制可以实现：当类对象的某个状态发生变化时，系统将会通过某种途径调用类中的有关处理这个事件的方法或者触发控件事件的对象就会调用该控件所有已注册的事件处理程序等。

F — FirebugFirebug 是 网页浏览器 Mozilla Firefox 的一个扩展，是一个除错工具。

用户可以利用它除错、编辑、甚至删改任何网站的 CSS 、 HTML 、 DOM 、与 JavaScript 代码。

Firebug 也有提供其他网页开发工具，例如 Yahoo！ 的网页速度优化建议工具 YSlow 。

Firebug是哈维（ Joe Hewitt ）撰写的。

他是最初Firefox创始者之一。

G — Grid网格 ，也称 栅格 ，不过从定义上说，栅格更为准确些。

网上找个一个对网页栅格系统比较恰当的 定义 ：以规则的网格阵列来指导和规范网页中的版面布局以及信息分布。

网页栅格系统是从平面栅格系统中发展而来。

对于网页设计来说，栅格系统的使用，不仅可以让网页的信息呈现更加美观易读，更具可用性。

而且，对于前端开发来说，网页将更加的灵活与规范。

如果有很多CSS框架支持栅格功能，可参考文章《 介绍27款经典的CSS框架 》。

H — HTML超文本置标语言 （ 英文 ： HyperText Markup Language , HTML ）是为“ 网页 创建和其它可在 网页浏览器 中看到的信息”设计的一种 置标语言 。

HTML被用来结构化信息——例如标题、段落和列表等等，也可用来在一定程度上描述文档的外观和 语义 。

由 蒂姆·伯纳斯-李 给出原始定义，由 IETF 用简化的 SGML （标准通用置标语言）语法进行进一步发展的HTML，后来成为国际标准，由 万维网联盟 （W3C）维护。

最新版本是 HTML5 它是HTML下一个的主要修订版本，现在仍处于发展阶段。

目标是取代1999年所定订的 HTML 4.01和 XHTML 1.0 标准，以期能在互联网应用迅速发展的时候，使网络标准达到符合当代的网络需求。

广义论及HTML5时，实际指的是包括HTML、 CSS 和 JavaScript 在内的一套技术组合。

I — IEWindows Internet Explorer （旧称 Microsoft Internet Explorer ，简称 Internet Explorer ，缩写 IE ），是 微软公司 推出的一款 网页浏览器 。

截至2010年9月止，统计的数据显示Interne...

如何测试XSS漏洞

XSS跨站漏洞分为大致三种：储存型XSS，反射型XSS，和DOM型XSS，一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。

XSS几乎每个网站都存在，google，百度，360等都存在，存在和危害范围广，危害安全性大。

具体利用的话：储存型XSS，一般是构造一个比如说＂alert(＂XSS＂)＂的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key=＂>alert(＂xss＂)，也是弹窗JS代码。

当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。

比起存储型和反射型，DOM型并不常用。

缺点：1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底 5、是一种被动的攻击手法 6、对website有http-only、crossdomian.xml没有用所以楼主如果想更加深层次的学习XSS的话，最好有扎实的前后端开发基础，还要学会代码审计等等。

推荐的话，书籍建议看看《白帽子讲web安全》，《XSS跨站脚本攻击剖析与防御》一般配合的话，kalilinux里面的BEFF是个很著名的XSS漏洞利用工具，楼主有兴趣可以去看看。

纯手工打字，望楼主采纳。

展开

如何寻找XSS漏洞.......................？

XSS攻击大致可以分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如DVBBS的Showerror.asp存在的跨站漏洞。

另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。

如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

然后利用下面的技术得到一个shell.