该主题包含 1 个回复,有 2 个参与人,并且由 
javon 于 8 年, 2 月 前 最后一次更新。
正在查看 2 个帖子 - 1 至 2 (共计 2 条)
-
帖子
-
最后阿里云后台老提示wordpress IP验证不当漏洞,但开通去盾要¥,嫌烦可以自己手动修复。
该漏洞类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
修复方案:找到/wp-includes/http.php这个文件,在文件的465行附近找到:1. $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
改成:
Code: arbitrary (select)1.
2.
3.
4.
5.if (isset($parsed_home['host'])) {
$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
} else {
$same_host = false;
};在文件的 478行左右找到
1. if ( 127 === $parts[0] || 10 === $parts[0]
改成:
1. if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
如果在修改的时候发现478该行代码已经是修改过的代码,请忽略。登录阿里云帐号,在服务器安全页面点击验证,就可以去除该提示。
正在查看 2 个帖子 - 1 至 2 (共计 2 条)
抱歉,回复评论必需登录。