帝国cms编辑器跨站漏洞的危害和解决方法

漏洞类型：
跨站脚本攻击（XSS）
所属建站程序：
帝国cms
所属服务器类型：
通用
所属编程语言：
PHP
描述：
帝国cms编辑器中存在xss跨站，$InstanceName参数外部获取直接输出
危害：
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录，更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击，从而来达到获取其他的用户信息目的。
解决方案：
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件

$InstanceName=$_GET['InstanceName'];

改为

$InstanceName=htmlspecialchars($_GET['InstanceName']);

本文标签：

声明：本文由代码号注册/游客用户【怜梦】供稿发布，本站不对用户发布的帝国cms编辑器跨站漏洞的危害和解决方法信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。同时遵循 CC 4.0 BY-SA 版权协议，尊重和保护作者的劳动成果，转载请标明出处链接和本声明内容。本文作者：怜梦» /dmh/3925.html

很赞哦！ ()