每次登陆阿里云都给我提示这个IP 验证不当的漏洞
看着好烦啊,但一直懒得解决...
每次登陆后台都给我报这个漏洞,感觉没有他吹的那么严重╮(╯▽╰)╭,最少Wordpress发布时候不会留很大Bug出来呀,肯定就是想让我买它的修复漏洞服务罢了。
monian·2019-01-27·108 次阅读
每次登陆阿里云都给我提示这个IP 验证不当的漏洞
看着好烦啊,但一直懒得解决...
每次登陆后台都给我报这个漏洞,感觉没有他吹的那么严重╮(╯▽╰)╭,最少Wordpress发布时候不会留很大Bug出来呀,肯定就是想让我买它的修复漏洞服务罢了。
算了,今天有时间,百度一下ssrf漏洞是什么,到底是不是在骗我。
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
如此说来看不懂但觉得好像很严重,还是把bug修一下吧。
在网站目录中找到这个wp-includes/http.php文件,编辑 http.php
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) );
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
Comments | NOTHING