太原阉来商务服务有限公司

首頁(yè) > wordpress建站 > 解決阿里云盾控制臺(tái)wordpress IP驗(yàn)證不當(dāng)漏洞提示的方法
摘要:大挖的阿里云盾控制臺(tái)漏洞提示wordpress IP驗(yàn)證不當(dāng)漏洞,簡(jiǎn)介內(nèi)容如下:wordpress /wp-includ...

大挖的阿里云盾控制臺(tái)漏洞提示wordpress IP驗(yàn)證不當(dāng)漏洞,簡(jiǎn)介內(nèi)容如下:wordpress /wp-includes/http.php文件中的wp_http_validate_url函數(shù)對(duì)輸入IP驗(yàn)證不當(dāng),導(dǎo)致黑客可構(gòu)造類(lèi)似于012.10.10.10這樣的畸形IP繞過(guò)驗(yàn)證,進(jìn)行SSRF。

關(guān)于wordpress IP驗(yàn)證不當(dāng)漏洞的解決辦法,首先我們需要把wordpress升級(jí)到最新版本。然后做以下的修復(fù)操作即可。
1、打開(kāi)/wp-includes/http.php文件,在532行左右找到:

1
2
3
4
5
if ( isset( $parsed_home['host'] ) ) {
    $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
} else {
    $same_host = false;
}

將其修改為:

1
2
3
4
5
if (isset($parsed_home['host'])) {
    $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
} else {
    $same_host = false;
};

2、在文件大約549行左右找到:

1
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

將其修改為

1
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

修改完以上內(nèi)容,再到阿里云盾控制臺(tái)重新驗(yàn)證一下漏洞,就會(huì)發(fā)現(xiàn)漏洞已經(jīng)不存在了

分享到:
贊(1) 打賞

作者: 大挖醬

挖主題團(tuán)隊(duì)自2014年開(kāi)始專(zhuān)注于WordPress企業(yè)主題設(shè)計(jì)開(kāi)發(fā),致力于為更多用戶(hù)打造出更漂亮、更易用、更專(zhuān)業(yè)的網(wǎng)站。距今已累計(jì)開(kāi)發(fā)近50款WP主題,付費(fèi)客戶(hù)超過(guò)5千人。挖主題,是您可以長(zhǎng)期信賴(lài)的合作伙伴。

81 queries in 1.457 seconds

聯(lián)系作者Q: 8413708 WX: zdmin7

支付寶掃一掃

微信掃一掃