wordpress防黑教程之预防全版本通杀爆绝对路径漏洞
2013-10-02 12:10
615 查看
小V好不容易从学校回来本以为可以舒舒服服的上上网玩玩游戏,可惜刚坐到电脑前就有一位客户来反映定制的wordpress网站出现泄露绝对路径的漏洞。当时小V就震惊了。。因为这个客户是一个电脑白痴,怎么可能发现的了网站有漏洞呢?仔细一问才知道客户用360站长工具检测网站漏洞。。。。
漏洞类型:网站绝对路径泄露
漏洞文件:
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
5、/wp-content/themes/v7v3_qiyecms7/index.php
经过小V一个小时的测试,发现任何版本的wordpress都存在这个漏洞(算是通杀漏洞了),只要直接访问以上文件或者访问当前wordpress网站的主题目录都会爆出网站的绝对路径,就连wordpress官方的主题twentytwelve也不例外。虽然爆路径的利用价值不大但是但是如果你某些页面存在注入的话,可以直接通过绝对路径上传任意文件,相当于把菊花暴露给XX爱好者一个性质。。后果不堪设想啊。
解决方法一、在以上文件的的头部 <?php 后加入:
漏洞类型:网站绝对路径泄露
漏洞文件:
1、/wp-includes/registration-functions.php
2、/wp-includes/user.php
3、/wp-admin/admin-functions.php
4、/wp-admin/upgrade-functions.php
5、/wp-content/themes/v7v3_qiyecms7/index.php
经过小V一个小时的测试,发现任何版本的wordpress都存在这个漏洞(算是通杀漏洞了),只要直接访问以上文件或者访问当前wordpress网站的主题目录都会爆出网站的绝对路径,就连wordpress官方的主题twentytwelve也不例外。虽然爆路径的利用价值不大但是但是如果你某些页面存在注入的话,可以直接通过绝对路径上传任意文件,相当于把菊花暴露给XX爱好者一个性质。。后果不堪设想啊。
解决方法一、在以上文件的的头部 <?php 后加入:
error_reporting(0);解决方法二、找到/wp-includes/registration-functions.php文件将代码:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ _deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );改成:
<?php /** * Deprecated. No longer needed. * * @package WordPress */ @_deprecated_file( basename(__FILE__), ’2.1′, null, __( ’This file no longer needs to be included.’ ) );解决方法三、直接修改php.ini屏蔽php报错。
相关文章推荐
- 动网7.1.0存在泄露绝对路径漏洞
- WordPress NextGEN Gallery插件路径泄露漏洞
- 关于IIS注册表全版本泄漏用户路径和FTP用户名漏洞 京华志
- WordPress4.9 最新版本网站安全漏洞详情与修复
- win8.1 安装华为eNSP最新版本350图文教程 AR/AP/AC不能启动 路径含中文
- 相对路径和绝对路径错误造成的漏洞
- [Wordpress 3.X.X 及以前版本文件包含漏洞 全文]
- Wordpress最新3.5版本如何修改图片默认上传目录路径
- Struts2 2.2 和 2.3 版本最新漏洞及攻击方法和防范教程
- Wordpress最新3.5版本如何修改图片默认上传目录路径
- WordPress 最新版存在XSS和路径遍历漏洞,请快修补!
- Wordpress Jigoshop插件路径泄露漏洞
- 根据Uri获取图片绝对路径,解决Android4.4以上版本Uri转换
- Win7怎么获得文件夹绝对路径 Win7查询文件夹绝对路径图文教程
- 【漏洞公告】WordPress全版本WPDBSQL注入漏洞
- 根据Uri获取图片绝对路径,解决Android4.4以上版本Uri转换
- MySQL 5.7版本的安装使用详细教程+更改数据库data的存储路径
- WordPress Ripe HD FLV Player插件SQL注入和多个路径泄露漏洞
- WordPress /wp-admin/users.php畸形s参数路径泄漏漏洞
- dvbbs 7.1.0 cookie 存在泄露绝对路径漏洞