無憂主機(jī)小編在日常處理客戶網(wǎng)站問題時，經(jīng)常遇到網(wǎng)站因為程序漏洞出現(xiàn)的問題。網(wǎng)站安全的發(fā)展，才能使得管理者放心營運(yùn)。但是比較無奈的是，漏洞問題貌似屢見不鮮，就算再強(qiáng)大、再常用的程序，都會有諸如漏洞的問題，如discuz。下面是我們今天要講的漏洞： qq互聯(lián)插件dom xss漏洞   關(guān)于漏洞的描述： 在JS字符串中，字符還可以表示為unicode的形式。 即：單引號還可以表示為\u0027或\x27。由于沒有過濾" \ " 繞過了防御，形成漏洞。   關(guān)于漏洞的危害： 1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。 2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語言甚至flash應(yīng)用的漏洞來進(jìn)行攻擊，從而來達(dá)到獲取其他的用戶信息目的。   解決方法： 臨時解決方案： （感謝站長飛鳥網(wǎng)絡(luò)提供的臨時解決方案） Discuz! X2 需要修改的文件: \source\module\connect\connect_login.php Discuz! X2.5 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php Discuz! X3.0 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php （版本不同，修復(fù)方法是一樣的） 在19行 $referer = dreferer(); 的上面加上如下代碼： $_GET['referer'] = strtr($_GET['referer'],'\\','/');   官方補(bǔ)丁： 2013-2-22 官方已發(fā)布補(bǔ)丁，推薦站長使用官方補(bǔ)丁進(jìn)行升級   相關(guān)文章推薦閱讀： Wo Discuz!X小提示論壇FLASH配置不當(dāng)漏洞警告的解決方法 Discuz! X2.5在線升級BUG:“static/image/postbg/3.jpg下載出現(xiàn)問題” Discuz x3.1漏洞導(dǎo)致的QQ登入失敗，提示“(1054) Unknown column ‘conuintoken’ in ‘field list’”  

本文地址：http://www.gle-technology.com/discuz/13631.html