阿里云服务器报“wordpress IP验证不当漏洞”解决方案

今天来维护自己博客时,发现阿里云出现了一个“wordpress IP验证不当漏洞”,根据描述:“wordpress/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRP”,看到之后真是吓坏宝宝了。

由于没有接触这类问题,所以先百度了一下,看到很多文章都写有解决方案,但是经过我分析之后,要么没有什么用,要么改的有一些多余,所以今天我给大家出一个简单有效的方法。

修复方法:
用vi编辑器(当然你用别的编辑器也可以),打开你的博客所在路径下的 wp-includes/http.php 文件。

# 使用如下命令打开http.php文件
vi wp-includes/http.php

要修改的内容大约在代码的533行,所以你在vi编辑器中输入533回车(要在vi的命令模式下哟)后,即可跳转到相应位置。

# 我们要将
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
# 改写为
$same_host = (strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));

此时,漏洞已经修复完成,你再到阿里去进行验证时,发现漏洞已经不存了。





转载请附上原文出处链接及本声明
李老师的博客 » 阿里云服务器报“wordpress IP验证不当漏洞”解决方案

发表评论

提供最优质的文章集合

立即查看 了解详情