XML-RPC接口启用且可访问漏洞报告
摘要
网站███启用了XML-RPC接口,暴露了多个方法包括pingback.ping和system.multicall。攻击者可滥用这些方法执行大规模拒绝服务(DDoS)攻击和暴力破解放大攻击,严重威胁网站的可用性和安全性。
重现步骤
- 向███████发送POST请求,包含以下XML负载:
<?xml version="1.0"?>
<methodCall><methodName>system.listMethods</methodName>
</methodCall>
-
观察响应,其中包含暴露的XML-RPC方法列表,如pingback.ping和system.multicall
-
攻击者可利用这些方法发起基于pingback的DDoS攻击,或使用system.multicall进行暴力破解放大
支持材料参考
- 官方WordPress文档关于XML-RPC使用
- 关于XML-RPC pingback DDoS攻击和漏洞的公开建议
- 使用system.multicall进行暴力破解放大的常见安全报告
- CWE 611 XML外部实体(XXE)处理(相关风险)
- OWASP API安全Top 10
影响
启用的XML-RPC接口允许未经认证的攻击者滥用这些方法,可能导致针对网站或第三方的分布式拒绝服务攻击,以及暴力破解登录尝试的放大。这威胁到网站的可用性,并可能暴露敏感信息。
补充证明
作为额外的安全概念验证,我通过XML-RPC使用了system.getCapabilities方法,无需任何认证。
此方法不需要参数,被认为是确认XML-RPC已启用并积极处理方法调用的安全方式。
cURL请求示例:
curl -X POST ███ \
-H "Content-Type: text/xml" \
-d '<?xml version="1.0"?>
<methodCall>
<methodName>system.getCapabilities</methodName>
</methodCall>'
服务器响应了有效的XML-RPC能力,确认:
- XML-RPC接口已启用
- 接口未经认证
- 可以远程枚举或与API交互
建议缓解措施
- 禁用或限制XML-RPC访问
- 实施强认证机制(如OAuth、API密钥)
- 应用IP白名单或其他访问控制
事件时间线
- 2025年7月16日:漏洞报告提交
- 2025年10月10日:HackerOne分析员关闭报告,标记为信息性
- 2025年10月10日:报告被披露
状态
该报告已被标记为"信息性"并披露,平台认为XML-RPC接口公开访问不构成具体可利用的安全风险。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
