最近無憂主機小編遇到一個客戶使用的程序被掛馬了，問是什么問題導致的。小編第一想法是網(wǎng)站程序出現(xiàn)漏洞了，因為很多客戶的網(wǎng)站被掛馬大部分都是由于網(wǎng)站程序的漏洞引起的，這種情況發(fā)生在dedecms上最多。不過今天的主角可不是dedecms，而是phpcms。 漏洞描述： 跨站腳本攻擊漏洞。 1.跨站腳本攻擊就是指惡意攻擊者向網(wǎng)頁中插入一段惡意代碼，當用戶瀏覽該網(wǎng)頁時，嵌入到網(wǎng)頁中的惡意代碼就會被執(zhí)行。 2.由于PHPCMS的api.php中對多個參數(shù)未作處理，導致XSS漏洞。   危害： 惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內容。（這次客戶的網(wǎng)站就是被掛了很多垃圾頁面） 解決方案： 請打上官方最新補丁：http://bbs.phpcms.cn/thread-854157-1-1.html，另外官方補丁不完整，還需修改下面一處： 找到api/map.php，將270行 echo $city; 改成： echo htmlspecialchars($city); 具體方如圖：   [caption id="attachment_13475" align="alignnone" width="150"] 需要修改[/caption] 相關文章推薦閱讀： DEDECMS DIALOG目錄下配置文件XSS漏洞 無憂主機教你ECSHOP環(huán)境下解決搜索SQL注入漏洞 DEDECMS如何用利用2013年7月最新補丁修復安全漏洞的方法

本文地址：http://www.gle-technology.com/phpcms/13474.html