流行WordPress流量统计插件Slimstat存在高危漏洞,影响全球130万网站

幸运草
幸运草
幸运草
1033
文章
3
评论
2020年5月20日23:50:42
评论
95

WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。

FreeBuf科普:了解WP-Slimstat

WP-Slimstat全称为Wettable Powder Slimstat,是WordPress上最流行的网站流量实时统计插件。全球共有7000万使用WordPress搭建的网站,其中有超过130万使用了WP-Slimstat这款插件。

WP SlimStat 是一个功能非常强大的WordPress实时统计分析插件,功能众多,而且有中文包,使用非常方便。其功能包括:

实时网络分析报告

兼容 W3 Total Cache 插件

灵活方便的管理界面(你可以自定义移动、隐藏模块)

符合 欧洲隐私法 (IP Anonymizer)

最准确的IP地理位置、浏览器和平台检测

可以通过多个过滤器查看分析数据(IP地址、浏览器、搜索词、用户 和其他)

可以给特定用户添加查看和管理的权限

平移和缩放JavaScript的世界地图,支持移动设备

漏洞描述

所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5 hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。

为此攻击者需要付出3千万次的猜解测试,而对于流行的CPU来说,这种量级的暴力破解只需要10分钟。

安全专家建议所有使用这款流行插件的站长尽快进行升级。

特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

区块链中的网络钓鱼攻击汇总

本文回顾和分类区块链项目中最著名的欺诈案件,描述实施攻击的方法、现有保护方法以及发展网络钓鱼防护的必要方向。 所有网络钓鱼攻击都可以分为两种类型:社会工程方案和技术方案。社会工程是基于欺骗和随后受害者的错误行为,而技术计钓鱼利用了漏洞以及软件和基础架构的缺陷。…

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
勒索病毒攻击事件频发,企业上云应如何应对 劫持

勒索病毒攻击事件频发,企业上云应如何应对

劫持数据库“白帽子”黑客勒索比特币2017年5月13日,互联网多家网站疯传一条消息:据TechWeb报道,全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要...
劫持数据库“白帽子”黑客勒索比特币 劫持

劫持数据库“白帽子”黑客勒索比特币

2017年5月13日,互联网多家网站疯传一条消息:据TechWeb报道,全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要每家医院支付相当于400万人民币的...