您现在的位置是:首页 > 教程 > 帝国CMS教程帝国CMS教程
帝国cms编辑器跨站漏洞的危害和解决方法
怜梦2023-05-05 23:54:26帝国CMS教程已有人查阅
导读通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国cms
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
本文标签:
很赞哦! ()
相关文章
随机图文
帝国CMS内容页模板怎么调用多个作者的方法
多个作者的调用,标签调用[!--writer--]代码分割调用(用php分割$navinfor[writer]字段内容再显示)
帝国CMS充值提示请选择充值类型怎么办
帝国CMS会员中心,在线充值,选择一项支付平台,点“马上充值”会提示“请选择充值类型”。这是因为没有设置充值类型。
帝国CMS怎么重置管理员密码
1、将“upload”目录下的文件上传至帝国CMS系统目录;2、插件安装完毕。1、删除 /e/update/resetuser.php 文件;
帝国灵动标签调用子栏目的代码
帝国CMS有默认自带的栏目调用标签,但使用起来也很麻烦,现在分享一个万能的灵动标签调用子栏目代码。
| 留言与评论 (共有 条评论) |
