電子前線基金會(Electronic Frontier Foundation)技術人員Yan Zhu在個人部落格上公開WordPress的安全漏洞指出,WordPress用來紀錄使用者登入憑證的cookie並未加密,而是用明文顯示,使得在公開網路使用WordPress的用戶都有帳號被挾持的風險。

cookie是網站用來紀錄使用者的網路瀏覽行為或憑證,當使用者登入Facebook或WordPress之後,因網站已利用cookie紀錄使用者的憑證,因此就不會再要求使用者輸入,這是一個很普遍的功能,幾乎所有的網站都會使用,目的是為了讓使用者可順暢地使用該站服務。

不過,Zhu發現WordPress的憑證cookie並未加密,而是清楚顯示使用者的帳號及密碼。因此,當使用者在公開且未保護的網路上登入WordPress後,駭客即有機會透過諸如Firesheep等程式攔截網路上所傳輸的cookie,而直接取得使用者的憑證。

Zhu說,她複製了自己造訪WordPress時所儲存的cookie,把它存進一個新瀏覽器中,然後造訪WordPress,就直接登入了。

WordPress首席開發人員Andrew Nacin證實了相關的cookie能夠被重複使用一直到失效為止,但也澄清Zhu的作法只適用於使用http的WordPress網站,基於https傳輸的WordPress網站所紀錄的cookie是加密的。WordPress及代管WordPress.com的Automattic都正著手修復此一漏洞。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容