Intereting Posts
Класс Уокнера: проблемы с пониманием того, как метод walk () можно вызывать без ошибок Показывать один или два отдельных атрибута в цепочке покупок Woocommerce Архивы пользовательских сообщений и одиночные страницы, не отображающие данные пользовательской таксономии Получение данных POST из вызова AJAX WordPress вручную установлен на удаленном сервере Предложение Order & Orderby не работает с пользовательским запросом Страница архива типа сообщения не работает как получить идентификатор страницы на странице с помощью slug страницы Страница параметров темы не сохраняет параметры Фильтр pre_get_post возвращает результаты, когда не должно быть WordPress для разработки технической документации? Может ли the_post_navigation () быть вне цикла? Есть ли встроенный метод защиты страниц? Как получить заголовок / данные виджета Как я могу отобразить определенное количество сообщений в категории через URL-адрес

Является ли /wp-login.php?redirect_to доступным?

У меня есть сайт wordpress, против которого я запускал инструмент тестирования проникновения (в то время был включен режим отладки)

Он сообщил о проблеме (средней серьезности) в том, что ошибки отображаются и цитируются

/wp-login.php?redirect_to[]=blah

как запуск предупреждения: urlencode() ожидает, что параметр 1 будет строкой, массив указан в /home3/.../wp-includes/general-template.php в строке 340

Когда я отключил режим отладки и повторил сеанс, перенаправление произошла и перенаправила меня в / Array

Что касается меня, то WordPress может пытаться оценить имя параметра querystring каким-либо образом, который можно использовать.

Я слишком параноидальный?

Solutions Collecting From Web of "Является ли /wp-login.php?redirect_to доступным?"

Я думаю, это не о чем беспокоиться.

Цель перенаправления подвергается санированию и проверке. Честно говоря, я думаю, что не видел какой-либо части кода WordPress, где происходит так много проверок для самых неясных векторов атак.

Наконец, когда вы бросаете массив в строку, возвращается Array который вы видели.

Массивы всегда преобразуются в строку «Массив»;

Источник

Это происходит в _deep_replace .

Поэтому мое личное мнение заключается в том, что все должно быть хорошо. Давайте посмотрим, что говорят другие.

Что касается меня, то WordPress может пытаться оценить имя параметра querystring каким-либо образом, который можно использовать.

Почему именно эта возможность?

Если вы посмотрите на источник – и ошибка говорит так же, – происходит то, что код WordPress пытается urlencode параметр redirect_to query, который он ожидает быть строкой. Квадратные скобки, которые вы добавили, вызывают этот параметр как массив, который при обработке в виде строки является «Массив».

Вы можете утверждать, что WordPress должен проверять тип данных, прежде чем пытаться манипулировать им, но я не думаю, что есть что-то, что можно использовать. По существу, массив, который вы пытаетесь вставить в этот параметр, преобразуется PHP в безобидную строку «Array»