解决阿里云盾控制台wordpress IP验证不当漏洞

阿里云盾控制台漏洞提示wordpress IP验证不当漏洞wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

关于wordpress IP验证不当漏洞的解决办法,首先我们需要把wordpress升级到最新版本。然后做以下的修复操作即可。
1、打开/wp-includes/http.php文件,在532行左右找到

if ( isset( $parsed_home['host'] ) ) {
    $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
} else {
    $same_host = false;
}

将其修改为:

if (isset($parsed_home['host'])) {
    $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
} else {
    $same_host = false;
};

2、在文件大约549行左右找到:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

将其修改为

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

如上修改过后,再到阿里云盾控制台重新验证一下漏洞,发现漏洞已经不存在了

小确幸

每一丝灵感都值得被记录,每一笔记录都是成长,每一点成长都值得欢呼

博主个人站: www.imisty.cn
CSDN博客: https://blog.csdn.net/lookinthefog
博客园 :https://imist.cnblogs.com/

希望能够认识一些热爱技术的小伙伴,欢迎友链接哟

原文地址:https://www.cnblogs.com/imist/p/11417576.html

时间: 2024-11-08 05:57:38

解决阿里云盾控制台wordpress IP验证不当漏洞的相关文章

关于wordpress IP验证不当漏洞的解决办法

在阿里云的主机上搭建完WordPress网站后,阿里云就提示说"wordpress IP验证不当漏洞",实际上这个漏洞影响并不大,但是把还是要有安全的意识,所以建议还是要及时的修补漏洞. 漏洞修复方法:在网站目录下找到wp-includes/http.php这个文件找到: $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ); 把上面这行代码修改为下面代码. if (i

云计算之路-阿里云上:10:28-10:51云盾清洗以及IP切换引发的主站访问故障

大家好,非常抱歉!今天10:28-10:51期间由于阿里云云盾流量清洗,以及切换IP后负载均衡的带宽跑满,影响了主站的正常访问,给您造成了很大的麻烦,请您谅解! 故障的过程是这样的: 10:28,我们收到了来自阿里云云盾的通知短信: [阿里云]尊敬的用户:您的 IP 遭受外部流量攻击,已启动免费清洗服务... 以前也收到过几次这样的通知短信,根据以往的经验,这样的云盾流量清洗不会影响网站的正常访问. 可是今天收到短信后,突然发现主站www.cnblogs.com不能访问了(当时我们是通过上海电信

阿里云centos7搭建wordpress环境

阿里云搭建wordpress系统 一.购买阿里云 二.安装php开发环境 1. https://www.apachefriends.org/zh_cn/index.html网站下载linux下的xampp安装包文件xampp-linux-x64-5.6.24-1-installer.run: 2. Cd到/opt目录下,使用命令:chmod +x xampp-linux-x64-5.6.24-1-installer.run赋予可执行权限: 3. 使用命令:./xampp-linux-x64-5.

阿里云域名解析到动态ip

UpgradeDNS 脚本下载 git clone https://github.com/X-Mars/UpgradeDNS.git 功能介绍 用于将阿里云解析到动态ip如果服务器位于 动态公网ip 的环境,那么多数用户在使用 花生壳 等第三方实现动态域名解析,速度慢,最主要二级或者多级域名 不专业 !如果你刚好使用了阿里云的域名云解析,那么此时,你可以使用本脚本实现 一级域名 的动态解析了. 使用方法 安装 python2.7 (必须) 安装阿里云api的python sdk pip2.7 i

解决阿里云OSS跨域问题

解决阿里云OSS跨域问题 现象 本人项目中对阿里云图片请求进行了两次,第一次通过img标签进行,第二次通过异步加载获取.第一次请求到图片,浏览器会进行缓存,随后再进行异步请求,保存跨域失效. 错误信息如下: Failed to load http://cdn.imayuan.com/831ccd4741a7a56d85f6698a21f4ca69.svg: No 'Access-Control-Allow-Origin' header is present on the requested re

解决阿里云数据导入自建数据库过程中,导入出错的问题

解决阿里云数据导入自建数据库过程中,导入出错的问题 mysql配置改进:vim /etc/my/cnf [mysqld] datadir=/var/lib/mysql socket=/var/lib/mysql/mysql.sock secure_file_priv='' max_allowed_packet = 10M character-set-server = utf8mb4 collation-server = utf8mb4_general_ci #collation-server =

解决阿里云VPC网络下面ECS不能指定高于X.X.X.247私有IP地址的方法

阿里云在配置可用范围私有地址时报错:"指定的私网IP不在指定虚拟交换机的网段中" 根据阿里云提供的接口文档,VPC网络下面自定义的网段192.168.15.0/24可用私有IP地址范围为:192.168.15.1-192.168.15.252.(文档参考:云服务器 ECS > API 文档 > 交换机相关接口 > 新建交换机 说明:每个 VSwitch 的第 1 个和最后 3 个 IP 地址为系统保留(以 192.168.1.0 / 24 为例,192.168.1.0

解决阿里云服务器3306端口无法访问的问题(windows server 2008r2)

3306端口一般是指mysql数据的默认端口.郁闷了几天的问题,远程无法连接服务器上的mysql服务.今天终于得到彻底解决. 首先,你要确保在服务器上安装好Mysql,并能本地启动.修改密码(如不知道怎么修改密码或者安装过程中遇到各种问题,可以访问我的另一篇博客:http://www.cnblogs.com/hyyq/p/6219083.html)后,通过诸如Navicat的可视化界面管理工具连接数据库,打开mysql这个数据库中的user表,将user是root的这一行数据的host由loca

解决阿里云邮件发送不能使用25端口问题

本地测试发邮件功能很流畅,部署到阿里云上以后发现总是NOT FIND,这就很奇怪.开始以为是url写错了导致的,检查N多遍发现完全一毛一样的.后来各种百度,发现是因为阿里云禁用了25端口导致的.查看各种资料,解决的办法五花八门.试了几种解决方案,都解决了问题.现在整理如下:(不用去尝试申请解禁25端口的,可以很认真负责的告诉你,完全没有卵用) 首先,是阿里大大给的官方的解决方案,用SMTP发送邮件:代码如下 # -*- coding:utf-8 -*- import urllib, urllib