黑客能利用不安全的cookies劫持你的WordPress博客
- - SolidotHTTPS Everywhere和Privacy Badger Firefox维护者Yan Zhu发现了WordPress的一个安全漏洞,该漏洞将允许黑客劫持你的WordPress博客. 她发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点.
黑客能利用不安全的cookies劫持你的WordPress博客
标签:
黑客
利用
安全
| 发表时间:2014-05-27 20:30 | 作者:WinterIsComing
出处:http://www.solidot.org
HTTPS Everywhere和Privacy Badger Firefox维护者Yan Zhu发现了WordPress的一个安全漏洞,该漏洞将允许黑客劫持你的WordPress博客。她发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点。也就是说,你可以拷贝这个cookies到另一个浏览器内,然后在cookies有效期内直接登录到WordPress帐号,绕过了二步认证,不需要再输入用户名和密码。她测试后发现,这个cookies拥有发表文章阅读私人帖子和留言等诸多权限,甚至能修改帐号相关的电子邮件地址。WordPress首席开发者Andrew Nacin已经证实了这个漏洞,称将在下个WordPress 版本中修复该问题,指出漏洞不允许修改密码,因为修改密码需要使用到另一个认证cookies“wordpress_sec”。 
相关 [黑客 利用 安全] 推荐:
黑客利用社交工程技术发动攻击
- 远 - SolidotBurberry Scarf 写道 "《华尔街日报》报导,当防火墙日益严密,网络罪犯或黑客开始借助低技术方法渗透进安全系统. 克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,担心妻子用假名开设了账户. 这种情况完全可能,但在这个案例中,派滕却撒了谎. 不疑有诈的公司客服代表将用户账号和其他详细信息交给了派滕,令人感到后怕.
黑客是如何利用你的浏览器进行挖矿的?
- - FreeBuf互联网安全新媒体平台 | 关注黑客与极客近期,千里目安全实验室监测到了一大批网站系统被恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马站点,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击. 由于网页挖矿木马存在很广的传播面和很不错的经济效益,因此、广受黑产团体的追捧,让我们对它防不胜防.
安全科普:利用WireShark破解网站密码
- - 氪星人当我们输入账号、密码登录一个网站时,如果网站允许你使用HTTP(明文)进行身份验证,那么此时捕获通信流量非常简单,我们完全可以对捕获到的流量进行分析以获取登录账号和密码. 这种方法不仅适用于局域网,甚至还适用于互联网. 这就意味着,攻击者将可以破解任何使用HTTP协议进行身份验证的网站密码. 在局域网内要做到这一点很容易,这不禁使你惊讶HTTP是有多么的不安全.
信息安全工程师登陆非诚勿扰,随后邮箱被黑客窃取
- RustingSword - 素包子观看地址http://www.qiyi.com/zongyi/20100927/n41295.html. 杯具的是在节目末尾他公开了他的邮箱,没多久,黑客就进入了他的邮箱,发现了下面的邮件,看来效果不错,单身的同学可以考虑上非诚勿扰,但要准备好勇气和智慧面对24位挑剔的美女.
黑客或者从事安全领域工作的人用metasploit、Nessus这些工具用的多吗? - 知乎
- -作为一个世界500强的金融企业,我们对于漏洞自查这块,完全依赖于商业版Findstone,在买这个以前,自查都用的免费版Nessus. 上面反映的威胁,中、高、高危一律限期整改,结束. 我们会自己写脚本来加固标装OS,会聘请军工来对自己进行透渗试测,会优化基线并推行,但是不会自己写工具实现自己的需求.
漏洞播报:OpenSSL “heartbleed” CVE-2014-0160 安全漏洞附利用测试exp
- - Seay's blog 网络安全博客测试脚本: http://pan.baidu.com/s/1hq41y9A . OpenSSL官方网站4月7日发布 公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:. 升级到最新版本OpenSSL 1.0.1g.
浅谈如何利用IP数据来辅助风控和安全系统
- - FreeBuf.COM | 关注黑客与极客互联网时代,ip一直在网络安全和风险控制领域占据着最为重要的地位,主要是出于以下因素:. 所有的网络请求都会带有ip信息,因此其天然的成为访问者的身份标识. 由于ip的管理和分配比较严格,很难造假. 虽然会有代理、肉鸡等掩藏踪迹的手法. 但绝大部分情况下,ip数据的真伪是可以信得过的. 由于ip属于网络层,可以轻松的对其进行阻断.
利用AI技术,货运车队安全隐患或大幅下降90%
- - 36氪过去,物流行业的效率提升主要靠不断地优化设施,比如仓库的位置、车辆的选择等等. 这种方式要付出更大的代价,比如在成本上要投入更多,提升的瓶颈也非常明显. 因此,对“智慧物流”的强烈渴望和迫切需求正在逐步将货运及物流这个看似低端行业的信息化潜能激发出来,同样也离不开当下最火的人工智能、物联网技术. 物流汽运拥堵情况普遍存在且日趋严重.
黑客与画家
- Terry - DBA Notes四月份读的最好的一本书是 Paul Graham 的大作 《黑客与画家》(中文版),这是一本能引发技术人思考的佳作,真正意义上的黑客精神、创业(Start-up)、编程语言,是这本技术散文集的三个主题. 阮一峰的翻译很到位,很喜欢他的译文. 国内做技术图书的翻译属于"高投入低回报"的工作,能埋头做事情的人越来越少了.