您现在的位置是:首页 > cms教程 > 帝国CMS教程帝国CMS教程
帝国cms编辑器跨站漏洞的危害和解决方法
怜梦2023-05-05帝国CMS教程已有人查阅
导读通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国cms
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
感谢您的认可和支持
微信
支付宝
本文标签:帝国cms常见问题
很赞哦! ()
相关教程
图文教程
帝国CMS会员注册时更换问答验证的方法
注意:以下修改方法适用于:帝国CMS7.0以下版本(不包括7.0),帝国CMS(7.0/7.2/7.5)版本;
帝国CMS给后台管理信息子栏目添加增加信息按钮的方法
帝国CMS添加信息的步骤是先点击左侧管理信息栏目列表点击栏目名称,右侧打来栏目信息列表,添加上方的增加信息按钮,再进入增加信息页面。
帝国CMS制作字母导航功能的方法
也许你想制作像58同城网城市分站一样的字母导航功能,帝国CMS当然是可以实现的。增加“infozm”字段,infozm为取得标题字母的字段,只需将字段设置为录入项或投稿项
帝国CMS内容页怎么调用直接下载地址
开启直接下载:后台--系统--系统设置--系统参数设置--模型设置--最下面的“开启直接下载”勾选“是”更换为:(即:DownSoft 更换为 GetDown)
相关源码
-
工商注册财务代理记账类自适应pbootcms网站工商注册、财务代理记账企业打造的数字化门户模板,基于PbootCMS内核深度开发。采用前沿响应式架构,无缝适配手机端触控交互与PC端展示需求查看源码 -
(PC+WAP)智能机器人人工智能物联网自动化设备源码下载本模板基于PbootCMS内核开发,为智能机器人及传感器科技企业精心设计。采用现代化设计风格,突出科技感与专业性,多方位展示企业技术实力与产品优势。查看源码 -
(响应式自适应)小学初中作文论文文章资讯博客pbootcms模板下载为中小学作文、教育类网站设计,特别适合展示学生作文、教学资源和写作指导等内容。采用响应式技术,确保在不同设备上都能获得良好的阅读体验。查看源码 -
pbootcms模板PC+WAP娱乐新闻资讯类博客网站源码该模板基于PbootCMS内核开发,专为娱乐新闻、健康生活类资讯网站设计,同时支持快速适配其他行业(如企业官网、博客门户等),仅需替换图文内容即可完成转型。查看源码 -
(自适应)重工工业机械挖掘机机推土机网站源码下载基于PbootCMS内核开发的专业级重工机械企业网站模板,适用于挖掘机、推土机等重型工业设备展示。采用响应式设计技术,确保在各类设备上均能呈现专业视觉效果,帮助企业建立数字化展示窗口。查看源码 -
响应式粉色美容整形化妆品pbootcms网站模板开源源码该网站模板为美容整形、化妆品企业设计,采用响应式布局确保在手机、平板及PC端自动适配显示效果。基于PbootCMS内核开发,支持一键替换图文内容快速转换至其他行业应用。查看源码
| 分享笔记 (共有 篇笔记) |
