热门评论 匿名人士 | 2014-05-28 11:56:54 不就是Cookies劫持嘛,那你也得找到一个XSS漏洞才能利用好吧。 支持:1 | 反对:0 通过开放Wi-Fi网络访问Internet的人们,它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证)!这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的。其原因是,当你访问WordPress的时候,该网站会发送一个纯文本的cookie,而非加密cookie。 此后,WordPress将允许用户在网站上进行博客修改和私信等操作。由于WordPress的放任了这个未加密的cookie,因此它很有可能被拦截。 为了验证这点,Zhu拿自己账户的cookie进行了测试,“复制”结果表明,攻击者也可以轻而易举地得逞——无需输入任何信息,甚至绕过了两步验证。 如此一来,攻击者就可以利用这个cookie,执行更改email地址等进一步操作。即使Cookie会过期,但如果用户处于一个开放网络中,其杀伤力就会高很多。 不过,启用了HTTPS的自托管WordPress账户,并不会受到这个漏洞的影响。对于那些未启用HTTPS的网站,请尽量避免在“不安全的网络”中进行账户的访问操作。 [编译自:Neowin , via:Ars Technica]
