现在的位置:首页>wordpress>正文

wordpress在360检测显示http响应拆分漏洞解决

2016年04月02日 ⁄ 共 925字 暂无评论

这个问题,相信很多使用wordpress程序的朋友遇到过,其最大原因就是因为我们在优化的时候,对站外链接进行了跳转操作,福利老幺在用代码修改wordpress博客评论者链接地址的URL结构这篇文章中,就讲到过如何跳转,但实际上,里面有一个漏洞,这个在360网站检测里会变成一个严重的漏洞.福利老幺在检测时显示HTTP响应拆分漏洞,算是高危漏洞了.

当然,大多数没有作站内跳转的朋友,估计是不会检测出这样一个高危的,福利老幺的网站在上次检测中,只获得了46分.真是急死人了.

最有意思的是,360提示将一些?/这样的函数中的参数修改,福利老幺一看也是蒙了,这如果真要改,得多久啊.

描述HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车(%0d)、换行(%0a)字符。漏洞的危害:攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

360gwhttp1

福利老幺的网站因为这个原因,居然只获得了46分,当然,可能还有其它的原因:

360gwhttp2

wordpress在360检测显示http响应拆分漏洞的解决方法

说出了原因,就是因为添加了wordpress评论外链跳转功能,站外网址的跳转是使用“/?r=”直接跳转,没有使用中间跳转页,而且代码过滤不严格,即

$redirect = $_GET['r'];

后面必须过滤CR和LF字符,在该代码后面加上

$redirect = trim(str_replace("\r","",str_replace("\r\n","",strip_tags(str_replace("'","",str_replace("\n", "", str_replace(" ","",str_replace("\t","",trim($redirect))))),""))));

即可成功修复HTTP响应拆分漏洞.

知道问题,就好解决了,我们直接在当前主题的functions.php文件上中,找到上面的内容,再进行修改即可.

福利老幺成功修改后,分数由原来的46,变成现在的93分了,如下图:

360gwhttp3

小结

福利老幺也是偶尔查看一下,发现自己的网站居然变成了高危,所以不得不处理一下,您也可以去检测一下.

给我留言