您现在的位置是:首页 > 教程 > 帝国CMS教程帝国CMS教程
帝国cms编辑器跨站漏洞的危害和解决方法
怜梦2023-05-05 23:54:26帝国CMS教程已有人查阅
导读通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国cms
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
本文标签:
很赞哦! ()
相关文章
随机图文
-
帝国CMS7.5版系统模型新增记录信息审核人功能说明
帝国CMS7.5版各系统模型新增记录信息审核人功能,对查看责任人和绩效考核更方便:1、各系统模型(包括自定义的系统模型)均新增记录信息审核人功能。 -
帝国CMS文章等内容转化成DOC并下载的方法
本次修改的目的:内容字段自动变DOC文件,并提供下载!和其他生成不同,此修改不生成真实的DOC文件,所以新增和修改信息不用增加生成时消耗的资源和空间,不修改帝国系统文件 -
帝国CMS首页和自定义页面调用信息实现分页的方法
帝国CMS 首页、封面页、自定义页面等用SQL调用或者PHP调用信息时,帝国CMS本身无法实现分页,那么是否可以分页显示呢?答应是肯定的 -
帝国CMS灵动标签按点击数怎么实现天周月排行榜调用的方法
今天(24小时):newstime>UNIX_TIMESTAMP()-86400*1 必须是今天发布的文章,一周:newstime>UNIX_TIMESTAMP()-86400*7 必须是一周内发布的文章
留言与评论 (共有 条评论) |