最近無憂主機(jī)小編遇到一個(gè)客戶使用的程序被掛馬了，問是什么問題導(dǎo)致的。小編第一想法是網(wǎng)站程序出現(xiàn)漏洞了，因?yàn)楹芏嗫蛻舻木W(wǎng)站被掛馬大部分都是由于網(wǎng)站程序的漏洞引起的，這種情況發(fā)生在dedecms上最多。不過今天的主角可不是dedecms，而是phpcms。 漏洞描述： 跨站腳本攻擊漏洞。 1.跨站腳本攻擊就是指惡意攻擊者向網(wǎng)頁中插入一段惡意代碼，當(dāng)用戶瀏覽該網(wǎng)頁時(shí)，嵌入到網(wǎng)頁中的惡意代碼就會(huì)被執(zhí)行。 2.由于PHPCMS的api.php中對(duì)多個(gè)參數(shù)未作處理，導(dǎo)致XSS漏洞。   危害： 惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。（這次客戶的網(wǎng)站就是被掛了很多垃圾頁面） 解決方案： 請(qǐng)打上官方最新補(bǔ)?。篽ttp://bbs.phpcms.cn/thread-854157-1-1.html，另外官方補(bǔ)丁不完整，還需修改下面一處： 找到api/map.php，將270行 echo $city; 改成： echo htmlspecialchars($city); 具體方如圖：   [caption id="attachment_13475" align="alignnone" width="150"] 需要修改[/caption] 相關(guān)文章推薦閱讀： DEDECMS DIALOG目錄下配置文件XSS漏洞 無憂主機(jī)教你ECSHOP環(huán)境下解決搜索SQL注入漏洞 DEDECMS如何用利用2013年7月最新補(bǔ)丁修復(fù)安全漏洞的方法

本文地址：http://www.gle-technology.com/phpcms/13474.html