之前介紹在本地端利用命令列測試主機是否有 Shellshock 漏洞,但是有很多人是租用虛擬主機的,根本無法登入做測試,尤其是現在自架 wordpress 的數量非常多,還好已經有人設計出 wordpress 的測試的外掛了。

 

在 ManageWP Blog 網站裡,你可以下載這一支外掛並執行它,如果主機發現 Shellshock 漏洞,就會顯示如下圖,然後記得趕快通知主機商做update。
check_Shellshock

 

如果沒有發現,則顯示:

 

外掛下載:

來源網頁:https://managewp.com/shellshock-wordpress-check
直接下載:https://managewp.com/plugins/shellshock-check.zip

 

補充說明:

該程式會用到 proc_open 函數,如果你的虛擬主機不提供,那也沒辦法做測試。

You need the proc_open PHP function to run this test. 

 

附上外掛裡面測試的程式片段,你可以運用在自己寫的程式裡面做測試。

function shell_shock_test()
{
    $env = array('SHELL_SHOCK_TEST' => '() { :;}; echo VULNERABLE');

    $desc = array(
        0 => array('pipe', 'r'),
        1 => array('pipe', 'w'),
        2 => array('pipe', 'w'),
    );

    $p = proc_open('bash -c "echo Test"', $desc, $pipes, null, $env);
    $output = stream_get_contents($pipes[1]);
    proc_close($p);

    if (strpos($output, 'VULNERABLE') === false) {
        return false;
    }

    return true;
}
echo shell_shock_test() ? 'Vulnerable!' : 'Not vulnerable.';
WordPress 如何利用外掛檢查 Shellshock 漏洞?
標籤:        

發表迴響