wordpress IP验证不当漏洞的解决方法 http.php文件修复

云盾安骑士(服务器安全)wordpress IP验证不当漏洞的解决方法:

基本信息标题: wordpress IP验证不当漏洞

简介:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

找到/wp-includes/http.php这个文件,大概在文件533行,修改文件前记得先备份http.php原文件,备份是个好习惯:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

改成

if ( isset( $parsed_home['host'] ) ) { $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) ); } else { $same_host = false; } ;

继续搜索大概在文件549行

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

改成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
用支付宝打赏用支付宝打赏 用微信打赏用微信打赏

如果文章对你有帮助,欢迎点击上方按钮打赏作者


最后编辑于:2018/11/5作者: 游子

热爱一切美好的新事物,搞网站也被网站搞,剁手折腾。关注与学习Web相关技术与UI\UE\UED\UCD\Server相关知识,服务器运维、前端、后端、非专业程序猿、非高级前端后端攻城师!

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注

arrow grin ! ? cool roll eek evil razz mrgreen smile oops lol mad twisted wink idea cry shock neutral sad ???