黑客能利用不安全的cookies劫持你的WordPress博客

        Everywhere 和 Privacy Badger Firefox 維護者 Yan Zhu 發現了 WordPress 的一個安全漏洞，該漏洞將允許黑客劫持你的 WordPress 博客。她發現一個重要的 cookies“wordpress_logged_in”在輸入有效的用戶名和密碼后通過 HTTP 明文發送到 WordPress 的一個認證端點。

　　也就是說，你可以拷貝這個 cookies 到另一個瀏覽器內，然后在 cookies 有效期內直接登錄到 WordPress 帳號，繞過了二步認證，不需要再輸入用戶名和密碼。她測試后發現，這個 cookies 擁有發表文章閱讀私人帖子和留言等諸多權限，甚至能修改帳號相關的電子郵件地址。WordPress 首席開發者 Andrew Nacin 已經證實了這個漏洞，稱將在下個 WordPress 版本中修復該問題，指出漏洞不允許修改密碼，因為修改密碼需要使用到另一個認證 cookies“wordpress_sec”。

                    <span id="shareA4" class="fl">                            
                        </span>