admin-ajax.php中的Ajax post调用返回0和400错误请求(Wordpress) - 腾讯云开发者社区

文章/答案/技术大牛

发布

【error】jQuery ajax请求错误返回status 0和错误error的问题： ajax error:{readyState:0,status:0,statusText:er

【error】jQuery ajax请求错误返回status 0和错误error的问题： ajax error:{"readyState":0,"status":0,"statusText":"error..."} 异常描述：第一次ajax，后台都没问题，但是却进入error方法，错误码0，错误信息error。...以后再ajax就没问题。...解决方法：将button的type从submit改为button，因为submit会默认提交表单，而点击事件又绑定ajax，于是ajax请求就被cancel了。...从submit改为 button，因为submit会默认提交表单，而点击事件又绑定ajax，于是ajax请求就被cancel了。

3.8K2 0

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

今年 10 月，我们收到了来自 GiaoHangTietKiem JSC 的 ngocnb 和 khuyenn 的报告，涉及 WordPress 中的 SQL 注入漏洞。.../ajax-pagination.php 当请求发送到wp-admin/admin-ajax.php并且操作参数是ecsload时，调用get_document_data方法。 ...is called } 图 2 - wordpress/wp-admin/admin-ajax.php admin-ajax.php页面检查请求是否由经过身份验证的用户发出。...如果请求来自未经身份验证的用户，admin-ajax.php将调用未经身份验证的 Ajax 操作。...在这里，请求是在没有身份验证的情况下发送的，因此会调用未经身份验证的 Ajax 操作，即wp_ajax_nopriv_ecsload。

5.3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

【Wordpress】ajax 实现站内搜索

页面如何实现异步请求接口数据，并完成页面的渲染？问题1 – 模糊搜索：大胆尝试： wordpress 原生自带有一个 wp_query 函数，它支持的参数非常完善灵活，实现整个网站与数据库的交互。...比如调用最新文章、热门文章、自定义文章类型文章循环输出等。在官方手册中也有介绍到：wp_query，支持多种 sql 语句的比较符号： ? 看！...问题2 – 接口对接：上面我们已经实现了文章的模糊匹配，接下来就要提供一个接口，来实现与前端的交互。所以，我们将会用到 wordpress 自带的 admin-ajax.php 文件。...实现原理：要使用 admin-ajax.php 请求必然首先就是遇到如何使用 wordrpess 的钩子 hook 来做过滤。...action=search&keyword=cdn 上面我们用了 wordpress 的钩子函数，所以我们调用的时候用参数 action ，后面拼接相对应的 function 效果展示： ?

1.9K1 0

EventON WordPress 插件未授权邮箱地址泄露检测工具

EventON WordPress 插件未授权邮箱地址泄露检测工具这是一个专为 WordPress 设计的专业安全检测工具，用于识别 EventON 插件中的严重安全漏洞。...漏洞利用模拟：对存在漏洞的站点，自动发送精心构造的 POST 请求到 admin-ajax.php?action=eventon_get_virtual_users 接口，模拟攻击过程以验证漏洞。...漏洞利用与邮箱提取模块此模块模拟未经身份验证的请求，触发漏洞接口，并从返回的响应中解析出所有邮箱地址。...import reimport requestsdef send_post_request(url): try: # 构造存在漏洞的 AJAX 请求 URL post_url...= f"{url}/wp-admin/admin-ajax.php?

220 0

WordPress二次开发之调用ajax

默认值：None $src：（可选）WordPress网站根目录下的JS路径。如：”/wp-includes/js/xxx.js”。...(function())的方式不能使用 $(function(){})这种方式经测不能引入jquery 处理ajax请求这里我们不能之间在admin-ajax.php中对ajax进行处理，这样做就是修改了核心文件...观察 admin-ajax.php 发现其挂载了两个钩子wp_ajax_...和wp_ajax_nopriv_......我们在初始化的时候将函数添加到这两个钩子上即可在插件中对ajax请求进行处理在构造函数中 public function __construct() { add_action(...ajax 示例标题被点击时输出后台的返回值 //my_test.js ... $('.entry-title').click(function(){ $.ajax({

1.3K1 0

WordPress 文章无法保存？试试这些实用修复技巧

本文将带你一步步排查和修复 WordPress 更新文章失败的常见原因，并提供清晰的解决思路与操作建议。...=> 关闭默认规则-其他-SQL 注入防御，XSS 防御 => 关闭调整访问频率限制策略，避免WAF拉黑自己，如设置为：10秒内允许200次请求或 10秒内允许400次请求注意：1.WAF 中的“网站设置...二、插件冲突：功能强大≠没有副作用许多插件，尤其是安全类、SEO类、表单类插件，可能会通过钩子干扰 admin-ajax.php 的正常执行，导致返回非 JSON 内容。...四、PHP 错误信息泄露：调试模式的小插曲有时候，PHP 的 Notice 或 Warning 信息会被直接输出到响应中，破坏 JSON 格式。...五、核心文件损坏：WordPress 的“系统感冒”虽然少见，但 admin-ajax.php 或 class-wp-ajax-response.php 等核心文件若被病毒篡改或升级中断，也可能引发此问题

4481 0

为 WordPress 添加前台 AJAX 注册登录功能

为 WordPress 添加前台 AJAX 注册登录功能 ---- 功能前台化已成为 WordPress 主题制作的一大趋势，抛却缓慢臃肿的后台不说，前台便捷操作能给用户带来良好体验。...此功能的实现是由 AJAX 提交表格数据代替 PHP submit 提交至 WordPress 自带的 admin-ajax.php，再进行 WordPress 内部的 PHP 验证处理，基于功能简化要求...，使用了 jquery 表单验证库，在输入界面就提醒用户的明显错误，如邮箱格式不正确等等。...功能实现 ajax 提交表单数据代码已经包含在修改版 jQuery Validation Plugin 表单验证 js 文件中，主要是将 ajax 的提交 action 指向 admin-ajax.php...' ); $object[loadingmessage] = '正在请求中，请稍等

2.1K1 1

使用Web日志还原攻击路径

其中，wp-admin 是WordPress的管理后台，wp-login 是WordPress的登录页面，POST表示使用POST方法将HTTP请求发送到服务器，一般来说主要是登录表单和数据提交。.../wp-admin/admin-ajax.php?...28" 84.55.41.57 - - [17/Apr/2019:07:57:31 +0100] "POST /wordpress/wp-admin/admin-ajax.php HTTP/1.1" 200...84.55.41.57 - GET /wordpress/wp-admin/admin-ajax.php?...84.55.41.57 - POST /wordpress/wp-admin/admin-ajax.php 200 - http://www.example.com/wordpress/wp-admin

2K1 1

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

”，它会删除所有数据库表； 6.在未经许可的情况下，故意禁用pipdig认为不必要的其他插件； 7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中，这些插件可能包含重要信息。.../wp-admin/admin-ajax.php”。...当响应主体不为空时，即当它包含该URL时，以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求： $rcd = trim($response['body']);...，他们解释说我的admin-ajax.php文件受到了某种攻击[…]我可以确认我从来没有给过pipdig任何向我的服务器发出请求的权限。...（KHTML，如Gecko）Chrome / 60.0.3112.113 Safari /537.36’）和admin-ajax.php的请求，和上面代码中提及的使用请求PHP的随机生成的编号字符串。

1.6K2 0

WordPress Easy Cookie Policy 1.6.2 跨站脚本

# 软件链接：https://wordpress.org/plugins/easy-cookies-policy/ # 版本：1.6.2 # 测试：Windows 10 # CVE：CVE-2021-24405...一、说明：损坏的访问控制允许任何经过身份验证的用户通过对 admin-ajax.php 的 POST 请求更改 cookie 横幅。...概念证明： POST http://localhost/wp-admin/admin-ajax.php HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0

4584 0

渗透测试之黑白无常“续”

WordPress中的add_action是添加动作的，也就是添加到admin_ajax文件的，后面还拼装了一个$this->prefix参数，查看该参数的值。 ?...默认值为bwg，所以根据WordPress的规则这里拼出的URL应该就是： http://localhost/wordpress-5.2.3/wp-admin/admin-ajax.php?...最后拼接出来的payload如下： http://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?...://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?...这里就使用内联注释来处理and，最终的payload如下： http://192.168.121.128/wordpress-5.2.3/wp-admin/admin-ajax.php?

2.4K1 0

从瑞士军刀到变形金刚--XSS攻击面拓展

但在这之前，我们首先要了解一下，wordpress关于csrf的防御机制，在wordpress中引入了_wpnonce作为判断请求来源的参数。...xss的前端攻击在wordpress中，对用户的权限有着严格的分级，我们可以构造请求来添加管理员权限的账号，用更隐秘的方式来控制整个站点。...这个链接地址为 wp-admin/admin-ajax.php?...curl的链接 wp-admin/admin-ajax.php?...; p2 = 'wp-admin/admin-ajax.php?'

8401 0

WordPress安全架构分析

文章搞得乱七八糟给大家添麻烦了，干货不多，有需要的人阅读就好了 0x01 前言 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。...0x03 nonce安全机制出于防御csrf攻击的目的，wordpress引入了nonce安全机制，只有请求中_wpnonce和预期相等，请求才会被处理。...当请求形似 wp-admin/admin-ajax.php?...0x04 Wordpress的过滤机制除了Wordpress特有的nonce机制以外，Wordpress还有一些和普通cms相同的的基础过滤机制。...', $class ), '3.6.0' ); } return addslashes( $string ); } 这样在返回前，调用vsprintf的时候，post_status的值中的单引号就已经被转义过了

2.1K2 0

Depicter插件SQL注入漏洞检测与利用工具（CVE-2025-2011）

该漏洞存在于WordPress Depicter Slider & Popup Builder插件中（影响版本≤3.6.1），是一个无需认证的SQL注入漏洞。...可视化反馈：使用彩色终端输出和动态加载指示器，提供清晰的扫描状态和结果反馈。结果记录：自动将每个目标的探测结果（包括URL、状态码和响应片段）保存到以主机名命名的日志文件中。...构建完整的漏洞利用URL并向目标发送请求。显示一个动态旋转的加载指示器。返回HTTP状态码和响应正文的前500个字符。在响应中搜索bcrypt哈希。如果找到，会询问用户是否运行Hashcat进行破解。...所有结果（包括请求的URL和响应片段）将保存到 results_.txt 文件中。如果选择进行哈希破解，提取到的哈希会被写入 hashes.txt，并调用Hashcat。...= { # Payload 1: 针对 `depicter-lead-index` 动作，尝试从 `wp_users` 表提取 `user_pass` "1": r"/wp-admin/admin-ajax.php

1151 0

Wordpress安全架构分析

作者：LoRexxar'@知道创宇404实验室发表时间：2017年10月25日 0x01 前言 WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。...0x03 nonce安全机制出于防御csrf攻击的目的，wordpress引入了nonce安全机制，只有请求中_wpnonce和预期相等，请求才会被处理。...当请求形似 wp-admin/admin-ajax.php?...0x04 Wordpress的过滤机制除了Wordpress特有的nonce机制以外，Wordpress还有一些和普通cms相同的的基础过滤机制。...', $class ), '3.6.0' ); } return addslashes( $string ); } 这样在返回前，调用vsprintf的时候，post_status的值中的单引号就已经被转义过了

2K8 0

网站源代码安全审计之wordpress漏洞

User Post Gallery 是WordPress的一个第三方插件，该插件被许多网站运营者使用，由于代码存在远程命令执行漏洞，被许多黑客利用进行攻击网站，导致许多安装wordpress User...该漏洞被爆出后，直至到今天2023年2月1号，官网也未对该漏洞进行修复，wordpress官网已经对该插件停止了对外下载，我们SINE安全通过之前的User Post Gallery老版本源码，复现了此次漏洞...，其中的第2值放到$val，第3个值放到$val_param1，第4个的值放到$val_param2，以此类推的看，第5个值是放到了$val_param3里，其实这段代码就是对请求的参数开展解析和赋值的常规操作.../admin-ajax.php?...漏洞利用成功截图如下：以上是我们SINE安全的于涛技术对wordpress 漏洞进行的分析和安全审计，以及整体的漏洞复现过程，如果担心您的代码也存在漏洞，也可以与我们联系，我们可提供源代码的安全审计服务

1.7K3 0

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

本文将聚焦WordPress Fontsy插件存在的SQL注入漏洞（CVE-2022-4447），从漏洞背景、成因机理、攻击危害、实测验证到防御方案进行全面拆解，帮助站长和开发者规避安全风险。...三、漏洞成因深度解析该漏洞的本质的是插件开发者违背了WordPress安全开发规范，未对用户输入的参数进行有效 sanitize（净化）和escape（转义），直接将用户可控参数拼接至SQL查询语句中，...类似漏洞在WordPress插件中极为常见，核心错误代码逻辑如下（模拟漏洞代码，贴合实际漏洞成因）：// 危险代码：未过滤参数，直接拼接SQL$id = $_POST['id']; // 获取用户传入的...拦截恶意请求：借助网站防火墙（WAF），添加SQL注入特征拦截规则，拦截包含union、sleep、concat、drop等关键字的请求，以及针对wp-admin/admin-ajax.php的异常POST...（二）长期防护机制规范插件选用与更新：优先选用WordPress官方插件库（WordPress.org/plugins）中的插件，且选择下载量高、评分高、更新频繁的插件；定期检查插件更新，及时更新至最新版本

1091 0

利用Spark通过nginx日志离线统计网站每日pv

本文实现思路与之前mapreduce的思路一致。可以很好的比较mapreduce和Spark的写法。在个人看来，Spark写起来更加优美简洁，有一种四两拨千斤的感觉。... * 通过nginx日志统计每日pv，并按照日期和pv排序 * by me: * 我本沉默是关注互联网以及分享IT相关工作经验的博客， * 主要涵盖了操作系统运维、计算机编程、项目开发以及系统架构等经验...doing_wp_cron=1379488288.8893849849700927734375 HTTP/1.0" 200 0 "-" "WordPress/3.6; http://itunic.com..." 统计结果示例 2013-09-18 /wp-admin/admin-ajax.php 200 2013-09-18 /wp-cron.php 73 2013-09-18 /batch.manage.php...2013-09-18 /index.php 10 2013-09-18 /tag/waitoutputthreads/index.php 10 2013-09-19 /wp-admin/admin-ajax.php

2K2 0

解决 WordPress 提交评论前台超时发送失败，后台正常接收评论的问题

，后来也七七八八的修复了，但唯独有一个问题一直没有得到解决：提交评论一直显示提交中，直到超时显示提交失败，但是后台可以正常收到评论。...起初我觉得是腾讯云 CDN 的缓存问题，经过查询发现提交评论是向 wp-admin/admin-ajax.php 发送了 POST 请求，遂添加了额外的缓存策略，但是并没有得到解决。...回原，但是我 Nginx 上默认启用了 HTTP2），但是关掉后问题依旧存在，只不过错误信息变成了 CONNECTION_TIMEOUT。...于是我以为是我的小水管网速太慢请求超时导致的，但是即使将 CDN 超时时间调到 60 秒，依旧无济于事。在经过多次查询后依然得不到一个解决方案。于是这个事情就草草收场了。...这点醒了我，因为我近两个月完全没有收到 WordPress 给我发来的任何邮件（由于比较懒，我没有走 SMTP，而是让 WordPress 用默认的 25 端口直接发信的），看了一下慢日志，果然注意到

8922 0

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

受影响插件：Bricks Builder漏洞存在版本：WordPress POST请求后的显示它包含以下脆弱方法public...该prepare_query_vars_from_settings方法始终在类的构造函数中调用Bricks\Query。这个类在许多地方被使用和实例化。...该方法可通过 admin-ajax.php 端点和 WordPress Rest API 调用。...即使用户未经过身份验证，Bricks 也会为前端中的每个请求输出有效的随机数。这可以在下面网站主页呈现的 HTML 中看到。...原则上任何人都不应该将任何内容传递到eval.至少，Bricks 使用的代码库中的两个实例eval（查询类和代码块类）应该完全防范未经授权的、非管理员访问，并且输入必须经过严格验证。

2.7K1 0

点击加载更多

【error】jQuery ajax请求错误返回status 0和错误error的问题： ajax error:{readyState:0,status:0,statusText:er

CVE-2022-21661：通过 WORDPRESS SQL 注入暴露数据库信息

【Wordpress】ajax 实现站内搜索

EventON WordPress 插件未授权邮箱地址泄露检测工具

WordPress二次开发之调用ajax

WordPress 文章无法保存？试试这些实用修复技巧

为 WordPress 添加前台 AJAX 注册登录功能

使用Web日志还原攻击路径

WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

WordPress Easy Cookie Policy 1.6.2 跨站脚本

渗透测试之黑白无常“续”

从瑞士军刀到变形金刚--XSS攻击面拓展

WordPress安全架构分析

Depicter插件SQL注入漏洞检测与利用工具（CVE-2025-2011）

Wordpress安全架构分析

网站源代码安全审计之wordpress漏洞

WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南

利用Spark通过nginx日志离线统计网站每日pv

解决 WordPress 提交评论前台超时发送失败，后台正常接收评论的问题

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐