之前介紹在本地端利用命令列測試主機是否有 Shellshock 漏洞,但是有很多人是租用虛擬主機的,根本無法登入做測試,尤其是現在自架 wordpress 的數量非常多,還好已經有人設計出 wordpress 的測試的外掛了。
在 ManageWP Blog 網站裡,你可以下載這一支外掛並執行它,如果主機發現 Shellshock 漏洞,就會顯示如下圖,然後記得趕快通知主機商做update。
如果沒有發現,則顯示:
外掛下載:
來源網頁:https://managewp.com/shellshock-wordpress-check
直接下載:https://managewp.com/plugins/shellshock-check.zip
補充說明:
該程式會用到 proc_open 函數,如果你的虛擬主機不提供,那也沒辦法做測試。
You need the proc_open PHP function to run this test.
附上外掛裡面測試的程式片段,你可以運用在自己寫的程式裡面做測試。
function shell_shock_test()
{
$env = array('SHELL_SHOCK_TEST' => '() { :;}; echo VULNERABLE');
$desc = array(
0 => array('pipe', 'r'),
1 => array('pipe', 'w'),
2 => array('pipe', 'w'),
);
$p = proc_open('bash -c "echo Test"', $desc, $pipes, null, $env);
$output = stream_get_contents($pipes[1]);
proc_close($p);
if (strpos($output, 'VULNERABLE') === false) {
return false;
}
return true;
}
echo shell_shock_test() ? 'Vulnerable!' : 'Not vulnerable.';
搶先發佈留言