今天查看wordpress 网站的 网站维护 日志, 发现有一个Post 请求
195.54.160.135 – – [02/Jun/2020:06:18:15 +0800] “POST /api/jsonws/invoke HTTP/1.1″ 404 359 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36”
于是百度了一下,然后又谷歌了一下终于找到答案:
/api/jsonws/提供了大量可以调用 webservice 的方法,这些方法有几种调用形式:1) 通过 /api/jsonws/invoke 将要调用的方法和参数通过 POST 传递调用
2) 通过 url 的形式调用/api/jsonws/service-class-name/service-method-name,将要调用的方法和参数通过 POST 表单或 GET 参数形式传
也就是黑客们 用 上边的 调用方法,来试探我的密码。 真是可恶啊