今天来维护自己博客时,发现阿里云出现了一个“wordpress IP验证不当漏洞”,根据描述:“wordpress/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRP”,看到之后真是吓坏宝宝了。
由于没有接触这类问题,所以先百度了一下,看到很多文章都写有解决方案,但是经过我分析之后,要么没有什么用,要么改的有一些多余,所以今天我给大家出一个简单有效的方法。
修复方法:
用vi编辑器(当然你用别的编辑器也可以),打开你的博客所在路径下的 wp-includes/http.php 文件。
# 使用如下命令打开http.php文件
vi wp-includes/http.php
要修改的内容大约在代码的533行,所以你在vi编辑器中输入533回车(要在vi的命令模式下哟)后,即可跳转到相应位置。
# 我们要将
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
# 改写为
$same_host = (strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));
此时,漏洞已经修复完成,你再到阿里去进行验证时,发现漏洞已经不存了。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
