今日打开阿里云逛了逛,看见了一个漏洞,以为服务器是安装了云盾的,实际上这个漏洞影响并不大,但是把还是要有安全的意识,所以建议还是要及时的修补漏洞。既然提醒了多多少少还是存在隐患的,下面77生活网找到了解决办法,一起来看看阿里云云盾提示"Wordpress IP验证不当漏洞"修复解决方法,方法很简单的。
标题: wordpress IP验证不当漏洞
简介:
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
解决方案:
方案一:使用云盾自研补丁进行一键修复;
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
以上是官方给出的,感觉说了和没说没多大的区别,无非就是方案一给钱开通专业版有点用处。下面来看看手动如何修复吧。
在网站目录下找到wp-includes/http.php这个文件找到:
[code]$same_host = strtolower( $parsed_home[‘host‘] ) === strtolower( $parsed_url[‘host‘] );[/code]
把上面这行代码修改为下面代码。
[code]if (isset($parsed_home[‘host‘]))
{
$same_host = (strtolower($parsed_home[‘host‘]) === strtolower($parsed_url[‘host‘]) || ‘localhost‘ === strtolower($parsed_url[‘host‘]));
}
else
{
$same_host = false;
};[/code]
修改完之后,登录阿里云,打开云盾服务器安全,找到这个漏洞,在后面点击验证一下,验证通过之后,就不提示这个漏洞了。
评论