wordpress主题HTTP响应拆分漏洞解决方案

偶看网络营销博客通过360网站安全监测出现——HTTP响应拆分漏洞(WASC Threat Classification)

HTTP响应拆分漏洞

该漏洞的危害:攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

解决方案:限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。

偶看网络营销博客出现这个问题,是因为添加了wordpress评论外链跳转功能,站外网址的跳转是使用“/?r=”直接跳转,没有使用中间跳转页,而且代码过滤不严格,即

$redirect = $_GET['r'];

后面必须过滤CR和LF字符,在该代码后面加上

$redirect = trim(str_replace("\r","",str_replace("\r\n","",strip_tags(str_replace("'","",str_replace("\n", "", str_replace(" ","",str_replace("\t","",trim($redirect))))),""))));

即可成功修复HTTP响应拆分漏洞。

WordPress情侣模板集合免费下载

虽然WordPress使用范围的不断扩大,使用WordPress建立一个情侣博客是一件非常浪漫的事,而寻找一个合适的WordPress情侣模板是第一要务,以下WordPress情侣模板均来自网络,是作者免费提供的。

需要安装的基本插件是:WP-PostViews

模板统一解压密码:www.oukan.net

一、WordPress情侣主题之蒙奇奇,来自双陈记。

蒙奇奇主题下载:http://pan.baidu.com/share/link?shareid=6965&uk=2969853586

二、WordPress情侣主题之卡通情侣,来自双陈记。

卡通情侣主题下载:http://pan.baidu.com/share/link?shareid=6969&uk=2969853586

三、WordPress情侣主题之黑白猪猪,来自双陈记。

黑白猪猪模板下载:http://pan.baidu.com/share/link?shareid=6970&uk=2969853586

四、WordPress情侣主题之love在重庆,来自网络。

love在重庆模板下载:http://pan.baidu.com/share/link?shareid=6989&uk=2969853586

五、WordPress情侣模板之love灰太狼,来自网络。

love灰太狼主题下载:http://pan.baidu.com/share/link?shareid=6990&uk=2969853586

六、WordPress情侣模板之Love-Is,来自YY&Heson。

Love-Is模板下载:http://pan.baidu.com/share/link?shareid=6994&uk=2969853586

七、WordPress情侣主题之yoyocici嘻哈猴,来自YY&Heson。

yoyocici嘻哈猴模板下载:http://pan.baidu.com/share/link?shareid=6993&uk=2969853586

八、WordPress情侣主题之HeartV1.2,来自趣看下。

heart模板下载:http://pan.baidu.com/share/link?shareid=34255&uk=2969853586

模板统一解压密码:www.oukan.net