大名鼎鼎的wordpress竟然有如此漏洞

屮喵 · 发表于 2024-9-27 22:25:06

域名后面加上/wp-json/wp/v2/users，竟然会暴漏用户名

solodarker · 发表于 2024-9-27 22:29:18

后台可以混淆用户名

xiao5 · 发表于 2024-9-27 23:11:19

{"code":"rest_user_cannot_view","message":"\u62b1\u6b49\uff0c\u60a8\u4e0d\u80fd\u6ce8\u518c\u4e0b\u5217\u7528\u6237\u540d\u5355\u3002","data":{"status":401}}

{"code":"rest_api_cannot_acess","message":"\u65e0\u8bbf\u95ee\u6743\u9650","data":{"status":403}}

不得行

M100700 · 发表于 2024-9-28 00:28:05

暴露用户名然后呢？暴力跑字典吗？

实话说，有相当大一部分WP的后台用户名就是默认的admin，根本不用什么漏洞

lonefly · 发表于 2024-9-28 00:31:13

知道用了户名有啥用

foxcat · 发表于 2024-9-28 01:01:20

这个不是漏洞。

这是REST API正常的交互功能，给开发者提供的，具体怎么使用就看开发者自己了。

stingeo · 发表于 2024-9-28 01:07:32

试了一下，没有暴露

ls2829373 · 发表于 2024-9-28 08:15:03

知道我用户名又有何用，我是谷歌浏览器生成的随机密码，每个站点密码无相同的。

myoppo · 发表于 2024-9-28 08:17:41

一般安装 wordpress 后，直接安装插件禁用 REST API

胖虎 · 发表于 2024-9-28 08:33:18

不暴露人家也会扫你后台的，一般的做法是重新开一个管理员号。

		自动登录	找回密码
密码			注册

[经验] 大名鼎鼎的wordpress竟然有如此漏洞

点评

点评