修复wordpress程序函数ip验证不当问题
本文最后更新于 888 天前,其中的信息可能已经有所发展或是发生改变。

前段时间通过了备案,把网站放到了阿里云学生机上,虽然被称为套路云,但9.5一个月的服务器,对于我这个穷逼的学生党,很良心了。而且这个学生机可以从一直续费到24岁,很nice!。

下次试试腾讯云?


#今天收到阿里云盾报告

漏洞风险+1

恍惚之中,记得之前就有个wordprss的ip验证不当的风险,也没在乎。<可怜小网站,完全不用担心被大佬盯上?>

就是这个了,好像也没啥大问题。

2018-11-0909 :03:14
wordpress /wp-includes/http. php文件中的wp. http_ val idate_ url函数对输入IP验证不当,导致黑客可构攻击。未修复

于是谷歌了一下

找到了方法

修这个漏洞主要是博客系统中../wp-includes/http.php文件中的一个http函数验证不周全导致的,这个主要是用于验证IP格式的函数wp_http_validate_url()对于014.114.114.114这种经过特殊构造的IP格式来绕过系统的安全机制,从而可能发起攻击可执行webshell代码或者ssrf攻击。

问题既然出现在http.php文件中,那么就开始修改文件。

漏洞修复方法:

网站目录下找到wp-includes/http.php这个文件找到:

$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );

把上面这行代码修改为下面代码。

if isset($parsed_home['host'])) { $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host'])); } else { $same_host = false; };

修改完之后,登录阿里云,打开云盾服务器安全,找到这个漏洞,在后面点击验证一下,漏洞消失。

上一篇
下一篇