全球主机交流论坛

标题: 大名鼎鼎的wordpress竟然有如此漏洞 [打印本页]

作者: 屮喵 时间: 2024-9-27 22:25
标题: 大名鼎鼎的wordpress竟然有如此漏洞
域名后面加上/wp-json/wp/v2/users，竟然会暴漏用户名

作者: solodarker 时间: 2024-9-27 22:29
后台可以混淆用户名

作者: xiao5 时间: 2024-9-27 23:11
{"code":"rest_user_cannot_view","message":"\u62b1\u6b49\uff0c\u60a8\u4e0d\u80fd\u6ce8\u518c\u4e0b\u5217\u7528\u6237\u540d\u5355\u3002","data":{"status":401}}

{"code":"rest_api_cannot_acess","message":"\u65e0\u8bbf\u95ee\u6743\u9650","data":{"status":403}}

不得行

作者: M100700 时间: 2024-9-28 00:28
暴露用户名然后呢？暴力跑字典吗？

实话说，有相当大一部分WP的后台用户名就是默认的admin，根本不用什么漏洞

作者: lonefly 时间: 2024-9-28 00:31
知道用了户名有啥用

作者: foxcat 时间: 2024-9-28 01:01
这个不是漏洞。

这是REST API正常的交互功能，给开发者提供的，具体怎么使用就看开发者自己了。

作者: stingeo 时间: 2024-9-28 01:07
试了一下，没有暴露

作者: ls2829373 时间: 2024-9-28 08:15

知道我用户名又有何用，我是谷歌浏览器生成的随机密码，每个站点密码无相同的。

作者: myoppo 时间: 2024-9-28 08:17
一般安装 wordpress 后，直接安装插件禁用 REST API

作者: 胖虎 时间: 2024-9-28 08:33
不暴露人家也会扫你后台的，一般的做法是重新开一个管理员号。

作者: chxin 时间: 2024-9-28 09:05

胖虎发表于 2024-9-28 08:33
不暴露人家也会扫你后台的，一般的做法是重新开一个管理员号。

一般做法是将后台放到别的域名加上验证，然后生成静态网页放到主域名下，这样就随便扫

作者: 战神赵日天 时间: 2024-9-28 09:07
大哥，如果就是获取id是1的admin其实意义不大的
关键你有啥办法获得id2，id3，id4.。。。。。。id最后一个的用户名啊

作者: 我真是小号 时间: 2024-9-28 09:16
也确实算一个小洞了

作者: 吃瓜中 时间: 2024-9-28 09:31
小漏洞

作者: 长泰 时间: 2024-9-28 09:58

chxin 发表于 2024-9-28 09:05
一般做法是将后台放到别的域名加上验证，然后生成静态网页放到主域名下，这样就随便扫 ...

是的，以前用wp2static

作者: piaofu998 时间: 2024-9-28 10:00
一般都是禁止的。

作者: 友谊地久天长 时间: 2024-9-28 10:03
这个在很多主题中.只要发布文章就显示了.

作者: crussh 时间: 2024-9-28 14:03
我的有漏洞吗？

欢迎光临全球主机交流论坛 (https://443502.xyz/)