即使在从请求标头中删除身份验证Cookie之后,也可以转到WordPress管理员

时间:2014-01-14 作者:Extrakun

我发现,如果我从浏览器的请求头中删除了auth Cookie,我仍然可以查看页面。

步骤:

登录我的WordPress安装

转到wp管理页面

在Chrome中,使用开发者网络选项卡并复制页眉以访问页面

将cookie粘贴到Dev HTTP客户端

移除所有Cookie

按发送

输出显示我仍然可以访问管理页面

这是一个漏洞吗?如果我删除了身份验证cookie,WordPress难道不能检索登录的用户吗?

1 个回复
SO网友:Dave Ross

如果去掉Cookie头,Dev HTTP Client仍然会发送您为该站点提供的任何Cookie。您可以使用验证Charles Web Debugging Proxy

结束
标签: security   小码农  

相关推荐

Security and .htaccess

大约一个月前,我在一个与爱好相关的托管服务器上创建了一个WordPress博客。所以,我目前还不熟悉这一点。由于我担心安全性,我做的一件事就是安装插件WP安全扫描。根据插件结果,我的网站会被检查出来,但我在结果中看到的是一个红旗:文件。wp admin中不存在htaccess/(我在那里ssh了,它不存在)好的,所以我在这个问题上做了大量的搜索,找到了太多的信息。htaccess。我在WordPress上经历了强化WordPress。org网站等,也遇到了这篇文章:http://digwp.com/201