Bilet 11289 wordpress hosting

# Exploit Tytuł: Cross Site Scripting Odzwierciedlenie w WordPress 3.3
# Google Dork: "Dumnie zasilany przez WordPress"
# Data: 2.Jan.2012
# Autor: Aditya Modha Samir Shah
# Software Link: www.wordpress.org/download/
# Wersja: 3.3
# Testowane na: apache
# CVE. Nie.

Krok 1: dodaj komentarz do strony docelowej

Krok 2: Zamień wartość autor tag, tag e-mail, komentarz tag z dokładną wartość tego, co zostało po w ostatnim komentarzu. Zmień wartość comment_post_ID do wartości poście (który może być znany przez otwarcie tego posta i sprawdzając wartość parametru p w adresie URL). Na przykład, jeśli adres URL jest 192.168.1.102/wordpress/?p=6 wówczas wartość comment_post_ID to 6.

Bilet 11289 wordpress hosting Oto nasz ładunek XSS


Wordpress 3.3 XSS PoC










Krok 3: Publikowanie powyższy plik HTML na serwer WWW i dostęp do niego. Kliknij na przycisk "Click Me". To spróbuj opublikować komentarz do wordpress, który oznaczy ten komentarz jako duplikat komentarz z odpowiedzią serwera wewnętrznego błędu 500. Oto nasza XSS ładowność dostanie wykonywany. Sprawdzić plik wordpress_3.3_xss.jpg.

Krok 4: Kod odpowiedzi gdzie XSS ładowność odzwierciedla podano poniżej


->



WordPress › Błąd



Duplikat komentarz wykryty; wygląda to tak, jakby powiedzieć, że już!


Obejrzyj ten film!

Powiązane artykuły

PHP zmienne globalne wordpress hostingUżytkownik: CharlesClarkson / Zmienne globalne Ten artykuł jest brulion. Autorka nadal pracuje nad tym dokumentem, więc proszę nie zmieniać tego bez zgody autora. Zawartość w ciągu ...
Globalna zmienna php wordpress hostingUżytkownik: CharlesClarkson / Zmienne globalne Ten artykuł jest brulion. Autorka nadal pracuje nad tym dokumentem, więc proszę nie zmieniać tego bez zgody autora. Zawartość w ciągu ...
Zabezpieczyć hasłem strona internetowa hosting wordpressPocztowe ustawienia widoczności Po opublikowaniu posta WordPress (lub strony), jest on widoczny dla publiczności (domyślnie). Pod względem WordPress, oznacza to post z opublikowanego statusu ma domyślne ...
Osadzić wordpress blog do witryny WWWWiele rozmowy przesuwa się od tradycyjnych stron internetowych i komentarzy blogu social media. Często podczas pisania artykułu, chciałbym odnieść się do dyskusji dzieje się na Facebooku, ...
Tutorial na stronie seo hosting wordpressZupełne WordPress 000webhost Guide (2017) WordPress z pewnością nie wymaga żadnego formalnego wprowadzenia, ponieważ jest to najbardziej popularny blogosferę, że szybko się miejsce własnej ...