设为首页
收藏本站
切换到宽版
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
论坛
BBS
排行榜
Ranklist
搜索
搜索
热搜:
香港vps
香港VPS
amh
机柜
vps
分销
VPS
域名出售
火车头
云主机
不限流量
香港服务器
美国服务器
香港
全能空间
whmcs
digitalocean
本版
帖子
用户
MJJ论坛
»
论坛
›
主机综合交流
›
美国VPS综合讨论
›
大名鼎鼎的wordpress竟然有如此漏洞
1
2
/ 2 页
下一页
返回列表
查看:
2330
|
回复:
22
[经验]
大名鼎鼎的wordpress竟然有如此漏洞
[复制链接]
屮喵
屮喵
当前离线
积分
5134
发表于 2024-9-27 22:25:06
|
显示全部楼层
|
阅读模式
域名后面加上/wp-json/wp/v2/users,竟然会暴漏用户名
回复
举报
solodarker
solodarker
当前离线
积分
6583
发表于 2024-9-27 22:29:18
|
显示全部楼层
后台可以混淆用户名
回复
支持
反对
举报
xiao5
xiao5
当前离线
积分
7300
发表于 2024-9-27 23:11:19
|
显示全部楼层
{"code":"rest_user_cannot_view","message":"\u62b1\u6b49\uff0c\u60a8\u4e0d\u80fd\u6ce8\u518c\u4e0b\u5217\u7528\u6237\u540d\u5355\u3002","data":{"status":401}}
{"code":"rest_api_cannot_acess","message":"\u65e0\u8bbf\u95ee\u6743\u9650","data":{"status":403}}
不得行
点评
屮喵
你禁用restapi了,这个默认是开启了,我试了几个站都可以获取
发表于 2024-9-27 23:46
回复
支持
反对
举报
M100700
M100700
当前离线
积分
7216
发表于 2024-9-28 00:28:05
|
显示全部楼层
暴露用户名然后呢?暴力跑字典吗?
实话说,有相当大一部分WP的后台用户名就是默认的admin,根本不用什么漏洞
回复
支持
反对
举报
lonefly
lonefly
当前离线
积分
17068
发表于 2024-9-28 00:31:13
|
显示全部楼层
知道用了户名有啥用
点评
easonxnuw
老哥+1,我同问
发表于 2024-9-28 00:52
回复
支持
反对
举报
foxcat
foxcat
当前离线
积分
2307
发表于 2024-9-28 01:01:20
|
显示全部楼层
这个不是漏洞。
这是REST API正常的交互功能,给开发者提供的,具体怎么使用就看开发者自己了。
回复
支持
反对
举报
stingeo
stingeo
当前离线
积分
28350
发表于 2024-9-28 01:07:32
|
显示全部楼层
试了一下,没有暴露
回复
支持
反对
举报
ls2829373
ls2829373
当前离线
积分
16393
发表于 2024-9-28 08:15:03
|
显示全部楼层
知道我用户名又有何用,我是谷歌浏览器生成的随机密码,每个站点密码无相同的。
回复
支持
反对
举报
myoppo
myoppo
当前离线
积分
6038
发表于 2024-9-28 08:17:41
|
显示全部楼层
一般安装 wordpress 后,直接安装插件禁用 REST API
回复
支持
反对
举报
胖虎
胖虎
当前离线
积分
7544
发表于 2024-9-28 08:33:18
|
显示全部楼层
不暴露人家也会扫你后台的,一般的做法是重新开一个管理员号。
回复
支持
反对
举报
下一页 »
1
2
/ 2 页
下一页
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
Archiver
|
手机版
|
小黑屋
|
MJJ论坛
Copyright
MJJ论坛
© 2022 All Rights Reserved.
快速回复
返回顶部
返回列表
发表于 2024-9-27 22:25:06
知道我用户名又有何用,我是谷歌浏览器生成的随机密码,每个站点密码无相同的。