仅仅泄露AUTH_KEY就是一个安全问题吗?

时间:2016-02-11 作者:Steve Zuranski

我正在解决Wordpress插件问题。它是一个插件,可以生成服务器上现有文件的zip文件,并返回下载文件的链接。

插件

https://wordpress.org/plugins/sp-client-document-manager/

插件插件是问题的根源。

http://smartypantsplugins.com/downloads/sp-client-document-manager-batch-operations/

该插件创建一个目录,使用AUTH\\u键作为目录名来保存生成的zip文件。当url返回给客户端时,它包含AUTH\\u密钥作为其路径的一部分。

$zip_path        = \'\' . SP_CDM_UPLOADS_DIR_URL . \'\' . AUTH_KEY. \'/\'
这将返回类似以下内容的url:

http://www.example.com/wp-content/uploads/sp-client-document-manager/{the_wordpress_auth_key}/0123456789.zip
如果url中不允许AUTH\\u密钥中的任何字符,下载将返回404。这种情况正在发生,但可以通过将AUTH\\u键更改为将在url中工作的字符串来轻松修复。我担心的是它包含AUTH\\u密钥。

泄露AUTH\\u密钥本身是一个值得关注的原因吗?

1 个回复
最合适的回答,由SO网友:flomei 整理而成

AUTH_KEY WordPress 2.6中引入了brothers,以提高登录用户的安全性。它们用于加密和验证后端登录cookie中的信息。

在揭示AUTH_KEY 单独使用可能不是真正的安全问题,但您不应该在任何地方输出/使用它来减少攻击的表面。

此外,我不明白您为什么要使用AUTH_KEY 准备文件夹/下载链接。我想最好使用time() 如果您希望在不影响系统安全的情况下具有随机性或唯一性或其他特性,则可以生成文件夹名称。

Update: 我打开了a thread in the plugins support area. 让我们看看作者是否对此作出了回应。

标签: plugins   urls   security   小码农  

相关推荐

即使以管理员身份也无法使用/wp-json/wp/v2/plugins API终结点

以管理员身份使用基本身份验证时,我得到一个错误代码401 Unauthorized : [rest_cannot_view_plugins] Sorry, you are not allowed to manage plugins for this site. 尝试访问GET时出错/wp-json/wp/v2/plugins 我的服务器的终结点。我可以毫无问题地获取帖子和页面信息,但当我查询插件时,我得到了401错误。我已经确认,API调用中使用的用户ID应该能够使用CLI工具管理插件:# wp use