1

我在服务器上有一组 Web 应用程序,最终用户要求我们启用 XML-RPC。XML-RPC 的“远程过程调用”部分让我有点害怕。我的担忧是否有效(即启用/使用 XML-RPC 是否安全)?从我的搜索中,我只能找到特定于 Wordpress 的信息(显然他们认为 XML-RPC 足够安全,可以默认启用它,因为他们的版本 3.5)。

4

1 回答 1

0

是的,它是相当安全的——在安全意义上。

只需在此处查找 CVE:

https://www.cvedetails.com/vulnerability-list.php?vendor_id=2337&product_id=&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc= 0&opginf=0&cvssscoremin=6&cvssscoremax=6.99&year=0&month=0&cweid=0&order=3&trc=53&sha=392fdc92d5f65849f45c2e7249d5f9570dfbd711

而且您可以看到,除了 XMLRPC 本身之外,还有更多对其他功能的关注。

(按照漏洞利用数量的降序排列,您可以看到没有可用于 XMLRPC 的漏洞,但可能适用于其他类别的漏洞,例如 SQL 注入等)。

为了获得平衡的观点,您可以进一步阅读(在我看来,目前只是炒作):

https://www.wordfence.com/blog/2015/10/should-you-disable-xml-rpc-on-wordpress/

https://blogvault.net/disable-xml-rpc-for-better-security/

https://blogvault.net/how-xml-rpc-affects-wordpress-security/

于 2019-08-21T03:25:43.647 回答