wordpress ip驗證不當漏洞與wordpress後台外掛程式更新模組任意目錄遍歷導致dos漏洞
漏洞:
漏洞一:wordpress ip驗證不當漏洞
1.1 描述:wordpress /wp-includes/http.php檔案中的wp_http_validate_url函式對輸入ip驗證不當,導致黑客可構造類似於012.10.10.10這樣的畸形ip繞過驗證,進行ssrf
1.2 修復
1.2.1 找到/wp-includes/http.php這個檔案,大概在檔案465行,修改檔案前記得先備份http.php原檔案,這是個好習慣:
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ); 改成 if ( isset( $parsed_home['host'] ) ) else ;
1.2.2 在檔案的 478行左右找到
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] 修改為: if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
漏洞二:wordpress後台外掛程式更新模組任意目錄遍歷導致dos漏洞
2.1 描述:wordpress後台檔案/wp-admin/includes/ajax-actions.php中,對**外掛程式路徑的輸入引數plugin未進行正確的規範化轉義,導致黑客可傳入特殊路徑,造成拒絕服務。
2.2 修復
2.2.1 找到/wp-admin/includes/ajax-actions.php。大概在檔案2890附近,修改檔案前記得先備份ajax-actions.php原檔案
$plugin = urldecode( $_post['plugin'] ); 加上: $plugin = plugin_basename( sanitize_text_field( wp_unslash( $_post['plugin'] ) ) );最後到阿里雲盾控制台重新驗證下漏洞
了解VueRouter,這篇解析就夠了
將元件 components 對映到路由 routes 然後告訴 vue router 在 渲染它們 定義兩個元件 const foo const bar 形成路由對映 const routes 建立路由 const router new vuerouter 將路由繫結到檢視 router 如果乙個...
SVN的命令解析 感覺不錯就轉了
1 將檔案checkout到本地目錄 svn checkout path path是伺服器上的目錄 例如 svn checkout svn 簡寫 svn co 2 往版本庫中新增新的檔案 svn add file 例如 svn add test.php 新增test.php svn add php ...
SVN的命令解析 感覺不錯就轉了
1 將檔案checkout到本地目錄 svn checkout path path是伺服器上的目錄 例如 svn checkout svn 簡寫 svn co 2 往版本庫中新增新的檔案 svn add file 例如 svn add test.php 新增test.php svn add php ...