在siteurl上测试SQL注入的wordpress站点

时间:2010-04-08 19:34:58

标签: php security wordpress

我有一个客户谁的wordpress网站被iframe诈骗者两次黑客入侵。每次他们都将iframe代码注入网站内容。

最后一次,今天,他们只是将wp_options中的siteurl更改为iframe代码。结果很明显,似乎只是简单地破坏依赖于

的脚本的路径
<?php bloginfo(); ?>

我无法确定它的密码是否妥协(在FTP或WordPress本身上)或SQL注入以改变siteurl。因为唯一被改变的是siteurl,我想的可能是SQL Injection。

你有什么想法?有没有办法扫描网站是否存在潜在的SQL注入漏洞?

网站上唯一活跃的插件是联系表单7和google xml站点地图。

5 个答案:

答案 0 :(得分:4)

在这次攻击中使用SQL Injection 0-day的可能性极小。 Wordpress是我曾经审核过的最不安全的PHP项目之一,它因为如此不安全而获得了奖励。 “Wordpress黑客”是一个完整的笑话,他们拒绝了我的一个漏洞报告,因为他们无法掌握这个简单的缺陷,他们甚至没有打扰我的漏洞利用代码。 (这个漏洞被打了补丁。)

使用FTP是一个非常坏主意。您正在通过CLEAR TEXT中的开放式互联网传输纯文本密码和源代码,您必须完全疯了。使用SFTP !!!!我知道有一种病毒(不记得名字......)通过嗅探寻找FTP密码的网络流量传播,然后登录,并修改它找到的.php和.html文件。在具有FTP访问服务器的所有计算机上运行防病毒,AVG将删除此病毒。

我敢打赌wordpress或其中一个插件从未更新过。插件中的漏洞通常用于破解Web应用程序。检查所有已安装的库/ Web应用程序的所有版本号。

如果您想测试您的网站是否有SQL注入,请转动display_errors=On中的php.ini并运行Sitewatch free service *或开源Wapiti。修补任何漏洞后,请重新运行扫描以确保修补程序成立。然后运行PhpSecInfo以锁定您的php安装。确保从报告中删除所有RED条目。

*我隶属于此网站/服务。

答案 1 :(得分:0)

不要忘记评论。我在用户注册,然后在评论和个人资料中抛出代码时遇到了问题。检查那里。

答案 2 :(得分:0)

我认为这是特洛伊木马窃取用户PC上的FTP密码。

至于针对SQL注入测试你的应用程序的软件,这里有很多关于SO的答案

答案 3 :(得分:0)

您是否尝试过任何免费的SQL注入扫描程序? Nessus做到了,但它不再是免费的,有一些免费的可用,抱歉不能再帮助了,多年没看过数据库,当我这么做时只是粗略一瞥。

答案 4 :(得分:0)

如果关联的here文件是正确的,您应该使用NTOSpider让它攻击您的网站。