关键词:
wordpress IP验证不当漏洞与wordpress后台插件更新模块任意目录遍历导致DOS漏洞
漏洞:
漏洞一:wordpress IP验证不当漏洞
1.1 描述:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF
1.2 修复
1.2.1 找到/wp-includes/http.php这个文件,大概在文件465行,修改文件前记得先备份http.php原文件,这是个好习惯:
$same_host = strtolower( $parsed_home[‘host‘] ) === strtolower( $parsed_url[‘host‘] ); 改成 if ( isset( $parsed_home[‘host‘] ) ) { $same_host = ( strtolower( $parsed_home[‘host‘] ) === strtolower( $parsed_url[‘host‘] ) || ‘localhost‘ === strtolower( $parsed_url[‘host‘] ) ); } else { $same_host = false; } ;
1.2.2 在文件的 478行左右找到
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] 修改为: if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
漏洞二:wordpress后台插件更新模块任意目录遍历导致DOS漏洞
2.1 描述:wordpress后台文件/wp-admin/includes/ajax-actions.php中,对代码插件路径的输入参数plugin未进行正确的规范化转义,导致黑客可传入特殊路径,造成拒绝服务。
2.2 修复
2.2.1 找到/wp-admin/includes/ajax-actions.php。大概在文件2890附近,修改文件前记得先备份ajax-actions.php原文件
$plugin = urldecode( $_POST[‘plugin‘] ); 加上: $plugin = plugin_basename( sanitize_text_field( wp_unslash( $_POST[‘plugin‘] ) ) );
最后到阿里云盾控制台重新验证下漏洞
网站漏洞怎么修复对短信验证码被盗刷该怎么办
公司的商城网站刚上线运营不到一个星期,网站就被***了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的***。CPU监控看到网站在被盗刷短信验证码的时候,CPU一直保持在%95,网... 查看详情
cve-2017-15715漏洞怎么修复?
请问一下,阿里云服务器ApacheHttpd解析漏洞(CVE-2017-15715)怎么修复呢?谁能告诉我详细步骤吗?小白一个不太会弄><,非常感谢参考技术A在网上或者杀毒软件上搜索漏洞补丁,下载就行了 查看详情
记des和tripledes信息泄露漏洞(cve-2016-2183)的一些坑
...存在漏洞然后怀疑,是不是方向错了,因为我们用的都是阿里云的服务,又向阿里云提交工单咨询,不得不吐槽,阿里云的回复速度太慢了,等的花儿都谢了,按照阿里云客服的回复,改了些相关配置,还是不行最后不得已,去... 查看详情
如何修复应用休眠 1 分钟后未收到 Firebase FCM 的通知
】如何修复应用休眠1分钟后未收到FirebaseFCM的通知【英文标题】:HowtofixnotificationFirebaseFCMnotrecievedafterappsleeping1min【发布时间】:2021-12-1200:49:04【问题描述】:我的应用程序约会有问题,我使用功能云Firebase发送通知,但在1分钟... 查看详情
未收到解析 Android 通知
】未收到解析Android通知【英文标题】:ParseAndroidNotificationnotreceived【发布时间】:2016-01-0619:40:37【问题描述】:我按照教程在android上解析通知https://parse.com/apps/quickstart#parse_push/android/native/existing但我仍然无法在我的应用程序中收... 查看详情
在 Android 中未收到解析推送通知
】在Android中未收到解析推送通知【英文标题】:NotreceivingParsePushNotificationsInAndroid【发布时间】:2015-05-2715:33:37【问题描述】:我正在我的应用中实现解析通知,这是我第一次使用推送通知。我一直在关注this教程以了解解析的工... 查看详情
2020最新阿里云acp认证练习题(含答案及详细解析)
...志,如果没有异常登录成功的记录,可直接忽略答案:C解析:当某个IP的尝试多次登录云服务器ECS的时候,为了防止密码被破解,建议立即修改云服务器ECS的密码,并启动安全组防火墙,只允许特定IP登录该ECS。★2/743(1分)--单选... 查看详情
中间件漏洞汇总(代码片段)
...址什么是中间件iis6x篇PUT漏洞漏洞描述漏洞复现防御方式解析漏洞-基于文件名原理复现防御解析漏洞-基于文件夹原理复现防御IIS短文件漏洞介绍原理复现防御RCE-CVE-2017-7269介绍影响范围复现防御iis7x篇文件解析漏洞原理复现防御H... 查看详情
阿里云漏洞修复
解决办法:CENTOS:升级系统内核。yumupdatekernel UBUNTU:升级系统内核。#到Ubuntu网站http://kernel.ubuntu.com/~kernel-ppa/mainline/#选择所需要的Ubuntu内核版本目录#比如最新的内核版本4.16wgethttp://kernel.ubuntu. 查看详情
阿里云的云数据库每日读取上线多少点回复
阿里云云数据库的每日读取上限是有区别的,不同类型的数据库实例读取上限也不同。下面是一些常见的阿里云云数据库类型的每日读取上限:-MySQL的标准版和高可用版:每日读取上限为100万次-SQLServer标准版:每日读取上限为13... 查看详情
关于wordpressip验证不当漏洞的解决办法
在阿里云的主机上搭建完WordPress网站后,阿里云就提示说“wordpressIP验证不当漏洞”,实际上这个漏洞影响并不大,但是把还是要有安全的意识,所以建议还是要及时的修补漏洞。漏洞修复方法:在网站目录下找到wp-includes/http.ph... 查看详情
Android-应用程序没有收到来自解析平台的推送通知
】Android-应用程序没有收到来自解析平台的推送通知【英文标题】:Android-Appdoesnotreceivepushnotificationsfromparseplatform【发布时间】:2018-09-0813:05:39【问题描述】:我正在使用解析平台,但我无法在我的设备android上收到任何通知。这... 查看详情
阿里云漏洞修复
1、RHSA-2015:0794-中危:krb5安全更新修复命令:yumupdatekrb5-libs2、RHSA-2017:1860-中危:libtasn1安全和BUG修复更新修复命令:yumupdatelibtasn13、USN-3134-1:Python漏洞修复命令:apt-getupdate&&apt-getinstallpython2.7--only-upgradeapt-getupdate&&apt-getins... 查看详情
阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构
...机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者... 查看详情
在科尔多瓦项目中未收到解析推送通知
】在科尔多瓦项目中未收到解析推送通知【英文标题】:ParsePushnotificationnotreceivingincordovaproject【发布时间】:2016-03-0113:52:17【问题描述】:我在IOS设备中使用avivais/phonegap-parse-plugin(https://github.com/avivais/phonegap-parse-plugin)推送通知... 查看详情
早上收到这样一份通知,求一无漏洞框架,无力吐槽
关于停止使用ApacheStruts2开发框架的通知 各有关单位:ApacheStruts2(以下简称“S2”)是一种开源的、基于MVC架构的JavaWeb应用开发框架。S2自从2007年面世以来被国内外广泛使用,但也因屡次被披露存在高风险漏洞而闻... 查看详情
如何修复 Firebase 通知
...题描述】:我已经正确实现了Firebase通知,一些设备没有收到vivo通知,在后台运行时对焦如何解决该问题publicvoidgetNotification(Stringicon,Stringtitle,Stringbody)remoteViews=newRemoteViews(g 查看详情
使用mqtt连接阿里云的物联网云平台(代码片段)
...理模型(即数据点),以及如何使用虚拟设备查看设备上线时上报的JSON格式和云平台下发的JSON格式,这点对于后面项目开发来说很重要。本篇将讲述如何使用MQTT.fx连接阿里云。首先介绍MQTT.fx对于开发者来说是个什么样的... 查看详情