質問編集履歴
1
文章を改善しました
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -10,13 +10,13 @@
|
|
|
10
10
|
|
|
11
11
|
WordPressは、index.php=>(require)=>wp-load.php=>(require)=>/wp-includes/wp-*.phpという流れで大量のモジュールを読み込んでいるようなのですが、
|
|
12
12
|
|
|
13
|
-
もしも悪意のある(?)攻撃者が
|
|
13
|
+
もしも悪意のある(?)攻撃者が/wp-includes以下のような他のPHPファイルからrequireされるべきファイルに直接アクセスした場合、定数が未定義だったりして色々と不具合が起こるのではないのかと思います。
|
|
14
14
|
|
|
15
15
|
(管理ページのモジュールだったりした場合セキュリティ問題になりかねないのでは...?!)
|
|
16
16
|
|
|
17
17
|
|
|
18
18
|
|
|
19
|
-
そこで、WordPressの/wp-includes/以下のphpファイルで実験してみると、何も出力しないものもあれば、Fatal error: Call to undefined functionを吐くものもありました。
|
|
19
|
+
そこで、XAMPPで構築したWordPressの/wp-includes/以下のphpファイルで実験してみると、何も出力しない(真っ白)ものもあれば、Fatal error: Call to undefined functionを吐くものもありました。
|
|
20
20
|
|
|
21
21
|
それらファイルのソースを見てみても、ただ単に関数を呼び出しただけで、特に対策がされているようには見えませんでした。(少なくとも私のスキルではわからなかった)
|
|
22
22
|
|