WordPress的IP验证不当漏洞处理过程

最新推荐文章于 2022-03-25 21:15:00 发布
最新推荐文章于 2022-03-25 21:15:00 发布
阅读量288 收藏
点赞数
分类专栏: PHP Linux 文章标签: SSRF漏洞 安全漏洞 WordPress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39014761/article/details/89948556
版权
Linux 同时被 2 个专栏收录
19 篇文章 0 订阅
订阅专栏
PHP
5 篇文章 0 订阅
订阅专栏

本文已在本人博客https://www.nsxsg.com/archives/197首发

文章目录

WordPress的IP验证不当漏洞处理过程

漏洞说明

阿里云提示 WordPress IP验证不当漏洞

image

修改方法

  1. 进入http.php文件目录

[WordPress根目录]/wp-includes/http.php

  1. 定位到http.php文件第550行左右,修改正则表达式

原文件内容:

image

修改后的文件内容:

image

  1. 定位到http.php文件第566行左右,修改ip验证

原文件内容:

image

修改后的文件内容:

image

测试漏洞

  1. 去阿里云重新验证漏洞

image

  1. 验证成功

image

参考文章https://blog.csdn.net/dclnet/article/details/81869078

木子祎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
关于wordpress IP验证不当漏洞的解决办法
weixin_34275734的博客
05-04 138
在阿里云的主机上搭建完WordPress网站后,阿里云就提示说“wordpress IP验证不当漏洞”,实际上这个漏洞影响并不大,但是把还是要有安全的意识,所以建议还是要及时的修补漏洞漏洞修复方法:在网站目录下找到wp-includes/http.php这个文件找到: $same_host = strtolower( $parsed_home['host'] ) === strtolowe...
WordPress漏洞IP验证不当
不忘初心,执迷不悔
05-08 237
漏洞简介 WordPress程序的/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可以构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF等操作。 漏洞科普 SSRF是服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据的限制。 SSRF可以做什么: 内网外网的端口和服务扫描; 服务器...
解决阿里云盾控制台wordpress IP验证不当漏洞
测试
06-19 276
阿里云盾控制台漏洞提示wordpress IP验证不当漏洞wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。 关于wordpress IP验证不当漏洞的解决办法,首先我们需...
阿里云警报:wordpress IP验证不当漏洞修复
热门推荐
我的博客
10-19 8万+
参考链接:https://www.liuzhishi.com/2931.html 参考链接:https://www.jingxialai.com/1715.html 问题: 新开的wordpress阿里云报漏洞:     解决: 第一步、连接云主机 第二步、备份原http.php [root@usc wp-includes]# cp http.php http.php_201...
阿里云提示wordpress IP验证不当漏洞手动处
511遇见
08-07 3059
登录阿里云后台有漏洞安全修复提示,级别尽快修复,同时给出ECS服务器管理重要通知:您的云服务器(xxx.xx.xxx.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(UDP:ALL)的访问,阻断预计将在2018-04-23 09:56:58时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。 阿里云经常提示有wordpress IP验证不当漏洞,实际上这个漏洞影响并不大,阿里云只是为了让你购买它的付费版的云盾服务器安全服务(安骑士)。其实我们自己手动就可以修复这个漏洞,下面是.
wordpress 漏洞_WordPress漏洞分析
weixin_42514783的博客
01-26 5400
根据CVE官方漏洞通报得知wordpress新出一个组合式rce漏洞漏洞编号分别为CVE-2019-8943和CVE-2019-8942,下载漏洞版本源码,分析漏洞触发过程,注:漏洞复现时一定要断网搭建,wordpress在联网状态时会自动更新代码包。找到漏洞发生文件 post.php,wordpress有多个post.php文件,这里简要说明一下各自的作用,wp-includes/post.p...
信息收集域名、IP、端口服务、指纹识别相关信息
m0_57379855的博客
03-25 3933
信息收集域名、IP、端口服务、指纹识别、Googlehacking、目录信息、Githack相关信息域名相关的信息域名是什么域名的分类国际域名国别域名新顶级域名域名联系人信息whois获取域名反查ICP备案企业域名查询子域名信息字典猜解域名DNS信息配置DNS服务器记录类型域名解析查询IP相关信息DNS服务器的类型PINGCDN如何获取真实IP查看IP数量历史IP信息子域名查询国外主机解析其他端口服务相关信息端口扫描思路python实现常见端口及漏洞文件共享服务端口远程连接服务端口web应用服务端口数据库服
基于Metasploit的漏洞挖掘技术研究
黑客利用漏洞对系统进行攻击已成为常态,因此漏洞挖掘技术的研究与应用显得尤为重要。 ## 1.2 目的和意义 本文旨在通过研究基于Metasploit的漏洞挖掘技术,探讨其在网络安全领域的应用,旨在提高网络安全防护水平,...
Metasploit渗透测试之制作隐藏后门:利用漏洞获取远程访问
它提供了一套丰富的工具和资源,可用于发现、验证和利用计算机系统中的各种漏洞和安全弱点。 Metasploit渗透测试是使用Metasploit框架进行的一种主动攻击,目的是模拟真实黑客攻击,从而找出系统中存在的漏洞和弱点...
wordpress函数wp_http_validate_url畸形IP绕过验证SSRF漏洞
weixin_33738982的博客
11-23 163
2019独角兽企业重金招聘Python工程师标准>>> ...
WordPress 后台插件更新模块任意目录遍历导致DOS漏洞IP验证不当漏洞
ITkeke的博客
08-22 1545
最近倡萌频繁收到阿里云的两个漏洞提示,相信很多使用阿里云服务器的朋友也会收到:  WordPress 后台插件更新模块任意目录遍历导致DOS漏洞  WordPress IP验证不当漏洞  修复这两个漏洞的最直接的办法就是马上升级到 WordPress 4.6.1 版本即可!  下面还是简单说说这两个
wordpress IP验证不当漏洞导致被黑解决方案
weixin_33957648的博客
12-24 143
2019独角兽企业重金招聘Python工程师标准>>> ...
修复云服务器报wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证漏洞...
测试
03-21 1734
阿里云盾提示: wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF 修复方法: 1. 修改wp-includes/http.http文件中的第540 2. 由 preg_match('#^(([1-9]?\d|1\d\...
WordPress 4.6(PHPMailer)命令执行漏洞 (CVE-2016-10033)
SoulCat
02-08 4757
WordPress <= 4.6 命令执行漏洞(CVE-2016-10033) 漏洞概述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行。 漏洞版本: WordPress <= 4.6.0 PH...
悬镜安全丨WordPress插件漏洞影响超过100万个网站
Anprou的博客
03-03 1300
作为我们Sucuri防火墙(WAF)漏洞研究项目的一部分,为了查找存在的安全问题,我们已经审计了多个开源项目。 当审计WordPress的“NextGEN”相册插件时,我们发现了一个严重的SQL注入漏洞。 该漏洞允许一个未经授权的用户从受害人网站的数据库中偷取数据,包括用户的敏感信息。 目前,有超过100万个WordPress网站安装了这个易被攻击的插件。 你处在危
thinkcmf-5.0.190111后台任意文件写入导致的代码执行(CVE-2019-7580)
公众号shadow sock7
02-11 4453
https://xz.aliyun.com/t/3997
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值