WordPress著名插件Google Analytics by Yoast插件中曝出存储型XSS漏洞,该漏洞能够让未被授权的攻击者在WordPress管理面板中存储任何HTML代码,包括JavaScript...在默认WP配置下,恶意的用户可以利用这个漏洞通过插件/主题编辑器在服务器上写PHP文件(见视频演示)。...如果攻击者在Google分析账号设置中输入标签之类的HTML代码,这些代码就会出现在WordPress管理面板中,任何浏览这些设置时就会触发。...POC 以下这段HTML片段可以用来劫持使用了漏洞插件的网站中Google分析账号: alert('stored XSS') 这样的脚本会在管理员浏览面板中的设置页面时弹窗。
领取专属 10元无门槛券
手把手带您无忧上云