XML-RPC接口安全漏洞分析与防护

XML-RPC接口启用且可访问漏洞报告

摘要

网站███启用了XML-RPC接口，暴露了多个方法包括pingback.ping和system.multicall。攻击者可滥用这些方法执行大规模拒绝服务(DDoS)攻击和暴力破解放大攻击，严重威胁网站的可用性和安全性。

重现步骤

1. 向███████发送POST请求，包含以下XML负载：

<?xml version="1.0"?>
<methodCall><methodName>system.listMethods</methodName>
</methodCall>

2. 观察响应，其中包含暴露的XML-RPC方法列表，如pingback.ping和system.multicall

3. 攻击者可利用这些方法发起基于pingback的DDoS攻击，或使用system.multicall进行暴力破解放大

支持材料参考

• 官方WordPress文档关于XML-RPC使用
• 关于XML-RPC pingback DDoS攻击和漏洞的公开建议
• 使用system.multicall进行暴力破解放大的常见安全报告
• CWE 611 XML外部实体(XXE)处理（相关风险）
• OWASP API安全Top 10

影响

启用的XML-RPC接口允许未经认证的攻击者滥用这些方法，可能导致针对网站或第三方的分布式拒绝服务攻击，以及暴力破解登录尝试的放大。这威胁到网站的可用性，并可能暴露敏感信息。

补充证明

作为额外的安全概念验证，我通过XML-RPC使用了system.getCapabilities方法，无需任何认证。

此方法不需要参数，被认为是确认XML-RPC已启用并积极处理方法调用的安全方式。

cURL请求示例：

curl -X POST ███ \
-H "Content-Type: text/xml" \
-d '<?xml version="1.0"?>
<methodCall>
<methodName>system.getCapabilities</methodName>
</methodCall>'

服务器响应了有效的XML-RPC能力，确认：

• XML-RPC接口已启用
• 接口未经认证
• 可以远程枚举或与API交互

建议缓解措施

• 禁用或限制XML-RPC访问
• 实施强认证机制（如OAuth、API密钥）
• 应用IP白名单或其他访问控制

事件时间线

• 2025年7月16日：漏洞报告提交
• 2025年10月10日：HackerOne分析员关闭报告，标记为信息性
• 2025年10月10日：报告被披露

状态

该报告已被标记为"信息性"并披露，平台认为XML-RPC接口公开访问不构成具体可利用的安全风险。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码