WordPress插件为SQL注入大开方便之门

SQL注入原理

1、SQL命令可查询、插入、更新、删除等，命令的串接。而以分号字符为不同命令的区别。（原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式）

2、SQL命令对于传入的字符串参数是用单引号字符所包起来。（但连续2个单引号字符，在SQL数据库中，则视为字符串中的一个单引号字符）

3、SQL命令中，可以注入注解（连续2个减号字符 -- 后的文字为注解，或“/*”与“*/”所包起来的文字为注解）

4、因此，如果在组合SQL的命令字符串时，未针对单引号字符作取代处理的话，将导致该字符变量在填入命令字符串时，被恶意窜改原本的SQL语法的作用。

 事件

研究人员在一个最流行的 WordPress 插件中发现了 SQL 注入漏洞，它被安装在超过 30 万个网站上，黑客可以利用这些漏洞窃取数据库，并可能远程劫持受影响的网站。

这个漏洞存在于 WP Statistics 插件，功能是允许网站管理员获得与他们网站上的在线用户数量，访问次数和访问者数量以及页面统计信息相关的详细信息。漏洞由 Sucuri 团队发现，允许远程攻击者（至少有一个用户帐户）窃取网站数据库中的敏感信息，并可能越权访问网站。

WP Statistics 插件中的 SQL 注入漏洞驻留在多个函数中，包括 wp_statistics_searchengine_query()。研究人员表示：“这个漏洞是由于用户数据传入时未经检查的原因，否则，这不应该是一个问题。”“文件 'includes / functions / functions.php' 中的一个弱势函数 wp_statistics_searchengine_query() 可以通过 WordPress 的 AJAX 功能进行访问，这得益于核心函数 wp_ajax_parse_media_shortcode()。此功能不检查其他权限，这允许网站订阅者执行此 shortcode 并将恶意代码注入其属性。

Sucuri 研究员私下向 WP 统计团队披露了漏洞，该团队在其最新版本 WP Statistics 12.0.8 版中修补了漏洞。所以，如果您安装了易受攻破的插件版本，并且您的网站允许用户注册，那么您极可能受到利用此漏洞的攻击，应该尽快安装最新版本。

本文来源于：WordPress插件为SQL注入大开方便之门-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。