我想从默认的wordpress配置文件更新页面( wordpress / wp-admin / profile.php )中删除默认的nonce。我试图用wordpress密码更改来制作CSRF。
答案 0 :(得分:0)
您无法从默认管理员资料更新页面中删除默认随机数。请检查实际继承wp-admin/profile.php的{{1}}。在这里,您会看到nonce字段是硬编码的,就像wp-admin/user-edit.php文件中的 第220行 一样,您将获得user-edit.php如果不编辑文件<?php wp_nonce_field('update-user_' . $user_id) ?>,就无法操纵它。在 WordPress 约定中严格禁止编辑此核心文件。因此,简而言之,您无法从默认管理页面中删除默认的随机数。