XML-RPC安全吗？

Question

我在服务器上有一组web应用程序，一个终端用户要求我们启用XML-RPC。XML-RPC的“远程过程调用”部分让我有点害怕。我的担忧是否成立(即启用/使用XML-RPC是否安全)？从我的搜索中，我只能找到特定于Wordpress的信息(显然，他们认为XML-RPC从3.5版开始就足够安全，可以默认启用它)。

Answer 1

是的，它是相当安全的-在安全意义上。

只需在此处查找CVE：

https://www.cvedetails.com/vulnerability-list.php?vendor_id=2337&product_id=&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=6&cvssscoremax=6.99&year=0&month=0&cweid=0&order=3&trc=53&sha=392fdc92d5f65849f45c2e7249d5f9570dfbd711

您可以看到，除了XMLRPC本身之外，还有更多关于其他特性的问题。

(根据漏洞的数量从大到小排序，您可以看到没有可用于XMLRPC的漏洞，但可能可用于其他类别的漏洞，如SQL注入等)。

为了获得一个平衡的观点，你可以进一步阅读(在我看来，这只是目前的炒作)：

https://www.wordfence.com/blog/2015/10/should-you-disable-xml-rpc-on-wordpress/

https://blogvault.net/disable-xml-rpc-for-better-security/

https://blogvault.net/how-xml-rpc-affects-wordpress-security/