频道栏目
首页 > 安全 > 网络安全 > 正文

wordpress安全性方面的简单感慨

2010-03-10 16:24:51           
收藏   我要投稿
准备睡觉了, 睡觉之前在译言逛了逛,发现一个译言朋友的blog, [url]http://www.thinkdap.com[/url] , 就点进去看了看。 无意中发现页面右下部有个login的链接,就点了进去。 。 。 于是随便输了个用户名和密码,就有了下图:
 
然后我由测试了admin这个用户名, 又有了下图:
 

发现什么了吗?

对,就是错误消息。 
第一张图描述的情况是我随意输入的用户名, 结果错误消息提示的很详细,生怕你不知道自己用了错误的用户名。 然后我用admin测试了一下,看第二张图, 错误消息是无效密码, 这说明什么?  很明显admin这个用户名正是博主的登陆用户名。 呵呵。密码用黑客字典加破解工具,有点耐心的人,就可以进的去。。。

wordpress这种错误提示太详细了,反而是个漏洞
解决办法是:
1.   不要把login链接显示放在你的blog页面上
2.   修改wordpress的错误信息, 不要显示这么详细的错误消息。

这位朋友的blog里还列出了他的gmail地址,msn信息和qq号,于是我点击了forget password按钮,把他的gmail地址输进去, 结果邮件正确发出去了,这说明,blog的登陆信息和他的gmail帐号是有所关联。我也知道了他的qq号,那么我假装一个mm,加他qq号和他聊天, 套出他的一些信息,破解他blog密码是很轻松的事情,甚至不需要去用什么暴力破解软件。。。这也可以帮助理解,什么叫社会工程学。 
本文出自 “{ :Alex Space => " Ruby Notes " }” 博客
相关TAG标签 安全性 方面
上一篇:解决windows 2003下安装卡巴斯基
下一篇:内部网络安全技术之如何防止非法接入
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站