• 注册
热门标签
↑ 收起导航

WordPress插件造成HTTP响应拆分漏洞解决办法

今天感冒了,各种的难受!精神很差,效率也很低!

休息一下,玩玩360网站安全检测,提示哥网站存在HTTP响应拆分漏洞,又称CRLF注入攻击漏洞。

漏洞地址:http://yangjunwei.com/?r=xxxxx

wodpress应该不会有此漏洞,可能是插件造成的,于是全文搜索“$_GET['r']”代码,发现真的是存在于自己写的一个关于评论方面的插件里,功能是开启外站网址使用上述跳转代码,而且并未做完善的过滤,补充完善后的代码如下:

$redirect = $_GET['r'];
$redirect = trim($redirect);
$redirect = strip_tags($redirect,""); //清除HTML如<br />等代码
$redirect = ereg_replace("\t","",$redirect); //去掉制表符号
$redirect = ereg_replace("\r\n","",$redirect); //去掉回车换行符号
$redirect = ereg_replace("\r","",$redirect); //去掉回车
$redirect = ereg_replace("\n","",$redirect); //去掉换行
$redirect = ereg_replace(" ","",$redirect); //去掉空格
$redirect = ereg_replace("'","",$redirect); //去掉单引号

有句话很实在:不要轻易相信用户提交的数据!

版权声明:转载请注明来自杨俊伟博客,本文地址:http://yangjunwei.com/a/1085.html
除非注明,杨俊伟博客文章均为原创,转载请注明出处和链接!
 

发表评论 



我还是想用邮箱注册

登录

忘记密码 ?

用第三方帐号快捷登录

已有账户?前往登录吧~

注册