WordPress漏洞IP验证不当

最新推荐文章于 2022-03-25 21:15:00 发布
最新推荐文章于 2022-03-25 21:15:00 发布
阅读量244 收藏 1
点赞数
分类专栏: 日常记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mt_187/article/details/89976951
版权

漏洞简介
WordPress程序的/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可以构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF等操作。

漏洞科普
SSRF是服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据的限制。

SSRF可以做什么:

内网外网的端口和服务扫描;
服务器本地敏感数据的读取;
内外网主机应用程序漏洞的利用;
内网外网Web站点漏洞的利用。
解决方案
修改/wp-includes/http.php文件中533行、549行,替换内容如下:

533行
$same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );
#改为
if ( isset( $parsed_home[‘host’] ) ) { $same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ === strtolower( $parsed_url[‘host’] ) ); } else { $same_host = false; } ;
549行
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
#改为

mt_187
关注
专栏目录
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
关于wordpress IP验证不当漏洞的解决办法
weixin_34275734的博客
05-04 140
在阿里云的主机上搭建完WordPress网站后,阿里云就提示说“wordpress IP验证不当漏洞”,实际上这个漏洞影响并不大,但是把还是要有安全的意识,所以建议还是要及时的修补漏洞漏洞修复方法:在网站目录下找到wp-includes/http.php这个文件找到: $same_host = strtolower( $parsed_home['host'] ) === strtolowe...
解决阿里云盾控制台wordpress IP验证不当漏洞
测试
06-19 279
阿里云盾控制台漏洞提示wordpress IP验证不当漏洞wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。 关于wordpress IP验证不当漏洞的解决办法,首先我们需...
WordPressIP验证不当漏洞处理过程
Web开发
05-08 302
本文已在本人博客https://www.nsxsg.com/archives/197首发 文章目录WordPressIP验证不当漏洞处理过程漏洞说明修改方法测试漏洞 WordPressIP验证不当漏洞处理过程 漏洞说明 阿里云提示 WordPress IP验证不当漏洞 修改方法 进入http.php文件目录 [WordPress根目录]/wp-includes/http.php 定...
wordpress函数wp_http_validate_url畸形IP绕过验证SSRF漏洞
weixin_33738982的博客
11-23 167
2019独角兽企业重金招聘Python工程师标准>>> ...
WordPress 后台插件更新模块任意目录遍历导致DOS漏洞IP验证不当漏洞
ITkeke的博客
08-22 1556
最近倡萌频繁收到阿里云的两个漏洞提示,相信很多使用阿里云服务器的朋友也会收到:  WordPress 后台插件更新模块任意目录遍历导致DOS漏洞  WordPress IP验证不当漏洞  修复这两个漏洞的最直接的办法就是马上升级到 WordPress 4.6.1 版本即可!  下面还是简单说说这两个
信息收集域名、IP、端口服务、指纹识别相关信息
m0_57379855的博客
03-25 3946
信息收集域名、IP、端口服务、指纹识别、Googlehacking、目录信息、Githack相关信息域名相关的信息域名是什么域名的分类国际域名国别域名新顶级域名域名联系人信息whois获取域名反查ICP备案企业域名查询子域名信息字典猜解域名DNS信息配置DNS服务器记录类型域名解析查询IP相关信息DNS服务器的类型PINGCDN如何获取真实IP查看IP数量历史IP信息子域名查询国外主机解析其他端口服务相关信息端口扫描思路python实现常见端口及漏洞文件共享服务端口远程连接服务端口web应用服务端口数据库服
基于Metasploit的漏洞挖掘技术研究
黑客利用漏洞对系统进行攻击已成为常态,因此漏洞挖掘技术的研究与应用显得尤为重要。 ## 1.2 目的和意义 本文旨在通过研究基于Metasploit的漏洞挖掘技术,探讨其在网络安全领域的应用,旨在提高网络安全防护水平,...
Metasploit渗透测试之制作隐藏后门:利用漏洞获取远程访问
它提供了一套丰富的工具和资源,可用于发现、验证和利用计算机系统中的各种漏洞和安全弱点。 Metasploit渗透测试是使用Metasploit框架进行的一种主动攻击,目的是模拟真实黑客攻击,从而找出系统中存在的漏洞和弱点...
wordpress IP验证不当漏洞导致被黑解决方案
weixin_33957648的博客
12-24 143
2019独角兽企业重金招聘Python工程师标准>>> ...
阿里云警报:wordpress IP验证不当漏洞修复
热门推荐
我的博客
10-19 8万+
参考链接:https://www.liuzhishi.com/2931.html 参考链接:https://www.jingxialai.com/1715.html 问题: 新开的wordpress阿里云报漏洞:     解决: 第一步、连接云主机 第二步、备份原http.php [root@usc wp-includes]# cp http.php http.php_201...
阿里云提示wordpress IP验证不当漏洞手动处
511遇见
08-07 3061
登录阿里云后台有漏洞安全修复提示,级别尽快修复,同时给出ECS服务器管理重要通知:您的云服务器(xxx.xx.xxx.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(UDP:ALL)的访问,阻断预计将在2018-04-23 09:56:58时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。 阿里云经常提示有wordpress IP验证不当漏洞,实际上这个漏洞影响并不大,阿里云只是为了让你购买它的付费版的云盾服务器安全服务(安骑士)。其实我们自己手动就可以修复这个漏洞,下面是.
修复云服务器报wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证漏洞...
测试
03-21 1741
阿里云盾提示: wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF 修复方法: 1. 修改wp-includes/http.http文件中的第540 2. 由 preg_match('#^(([1-9]?\d|1\d\...
WordPress IP验证不当的解决办法及感慨
weixin_34109408的博客
11-01 90
为什么80%的码农都做不了架构师?>>> ...
WordPress xmlrpc.php SSRF漏洞复现
god_Zeo的安全博客
11-23 3657
0x01 WordPress xmlrpc.php 存在SSRF漏洞 通过Pingback可以实现的服务器端请求伪造 (Server-side request forgery,SSRF)和远程端口扫描。 0x02影响版本 WordPress 版本< 3.5.1 造成的影响 1、可以对业务内网进行探测。 2、攻击运行在内网或本地的应用程序(比如溢出攻击)。 3、利用file协议读取本地文件等 0x03漏洞验证 第一步:直接访问这个文件,初步判断 第二步:发现POC验证数据包 需要修改三处地方:例如:w
wordpress漏洞_实战Wordpres的CSRF漏洞利用
weixin_39575212的博客
12-12 394
Wordpress简介Wordpress是使用PHP语言开发的博客平台,用户可以在支持PHP和,MySQL数据库的服务器上架设属于自己的网站,也可以把WordPress当做一个内容管理系统(CMS)来使用。WordPress是一款个人博客系统,并逐步演化成一款内容管理软件,他是使用PHP和MySQL数据库开发的。安装WordPress环境1、 下载wordpress压缩包,解压到phpstudy的...
PHP网站路径泄漏,WordPress出现的绝对路径泄露漏洞及修复方法
weixin_34355933的博客
03-19 1107
现在很多朋友开始使用360网站卫士来检测网站漏洞,我刚刚尝试了一下,耗费时间大概需要50分钟,发现基于WordPress 的站点还是会检测出一些漏洞,虽然不知道这些漏洞是否是高危漏洞,而且由于本人对这块没有研究,不知道是否会影响网站的安全和运行,但是还是想完善这些检测出来的漏洞。只要检测出来的绝对路径的漏洞,我们就可以相对这些文件来完善修复这些漏洞。下面我就针对自己的网站检测出来的漏洞来说说。漏洞...
wordpress 漏洞
最新发布
09-03
关于WordPress漏洞,有一些常见的安全问题需要注意。首先,确保你的WordPress核心、主题和插件都是最新版本,因为更新通常包含了修复漏洞的补丁。同时,避免使用来自不受信任的来源的主题和插件,因为它们可能包含恶意代码。 另外,强化你的登录过程是很重要的。使用强密码,并启用双因素身份验证以提高安全性。此外,限制登录尝试次数并锁定账户可以防止暴力破解攻击。 定期备份你的网站数据也是必要的,这样即使遭受攻击或出现问题,你仍然能够恢复数据。 还有其他一些安全措施可以采取,例如限制文件和目录的访问权限,禁用文件编辑功能,通过使用安全插件来增强安全性等等。总之,保持WordPress和相关组件的更新,并采取适当的安全措施是确保网站安全的关键。如有任何具体漏洞问题,可以提供更多细节以便我作出具体建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值