admin 据国外媒体透露,使用PHP语言开发的博客平台——WordPress目前可能存在一个安全漏洞,这一漏洞是因未加密的cookie造成的,可能导致用户的个人资料泄露。
该漏洞运行方式
当用户访问WordPress的时候,该网站会发送一个cookie,但是这个cookie是以纯文本形式发送的,并没有经过加密。也就是说如果该cookie被拦截就有可能被利用。
该漏洞造成的危害
测试结果表明,通过截取cookie获得的信息可以让黑客毫无障碍的通过验证,并对用户的email、博客和私信等进行修改。
值得庆幸的是,该漏洞对启用了HTTPS自托管WordPress账户的用户没有任何影响,对于其他WordPress账户,WordPress没有做出过多解释。再次,夏冰软件安全专家提醒那些普通用户需要更多留意自己的账号安全。
小知识之Cookie
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109和2965都已废弃,最新取代的规范是RFC6265。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
