新聞中心
DedeCMS Dialog目錄下配置文件XSS漏洞
今天無(wú)憂小編自己的一個(gè)使用dedecms建站系統(tǒng)建立的網(wǎng)站用360網(wǎng)站檢測(cè)工具檢測(cè)到了一些漏洞,其中有一個(gè)XXS漏洞,該漏洞的說(shuō)明是“DedeCMS的Dialog目錄下的配置文件的多個(gè)參數(shù)未過(guò)濾,導(dǎo)致跨站腳本攻擊漏洞”。 dedecms漏洞 網(wǎng)站檢測(cè)出漏洞相信所有的站長(zhǎng)都無(wú)比頭疼,而且加上最近dedecms的漏洞大爆發(fā),很多站長(zhǎng)都反應(yīng)網(wǎng)站被人黑了,或者出現(xiàn)什么其他的問(wèn)題,這些問(wèn)題其實(shí)很多在平時(shí)如果做好了漏洞的修復(fù)工作還有程序的升級(jí)等操作之后,可以避免大多數(shù)的入侵,今天無(wú)憂小編就給大家說(shuō)說(shuō)怎么去堵上dedecms系統(tǒng)的一個(gè)XSS的漏洞。 首先我們先了解下XSS漏洞對(duì)我們網(wǎng)站的危害,主要有下面兩點(diǎn): 1.惡意用戶可以使用該漏洞來(lái)盜取用戶賬戶信息、模擬其他用戶身份登錄,更甚至可以修改網(wǎng)頁(yè)呈現(xiàn)給其他用戶的內(nèi)容。 2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語(yǔ)言甚至Flash應(yīng)用的漏洞來(lái)進(jìn)行攻擊,從而來(lái)達(dá)到獲取其他的用戶信息目的。 了解危害后相信很多站長(zhǎng)都想知道怎么解決這種問(wèn)題,其實(shí)自己的話可以使用較簡(jiǎn)單的方案來(lái)解決: 方案一: 首先第一步:定位到include/dialog/config.php文件, 在$gurl = “../../{$adminDirHand}/login.php?gotopage=”.urlencode($dedeNowurl);上面添加如下語(yǔ)句: $adminDirHand = HtmlReplace($adminDirHand, 1); 第二步:plus目錄下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : ”;改成 $uuid = isset($uuid)? htmlspecialchars($uuid) : ”;之后小編用360的網(wǎng)站漏洞測(cè)試過(guò)后,就可以發(fā)現(xiàn)網(wǎng)站的XXS漏洞消失了,如果這些代碼還沒(méi)修改的站長(zhǎng),建議也可以去修改一下,畢竟只要對(duì)網(wǎng)站的運(yùn)行沒(méi)有影響,是的系統(tǒng)安全點(diǎn)也是不錯(cuò)的。 方案二:使用防護(hù)腳本。( 需要站長(zhǎng)懂得編程并且能夠修改服務(wù)器代碼 )這邊小編使用的是360提供的PHP防護(hù)腳本,不過(guò)如何使用無(wú)憂小編就先不在這邊大篇幅的說(shuō)明了。 推薦文章:DEDECMS怎么去掉POWER BY DEDECMS
本文地址:http://www.gle-technology.com/dedecms/11836.html