您现在的位置是:首页 > 教程 > 帝国CMS教程帝国CMS教程
帝国cms编辑器跨站漏洞的危害和解决方法
怜梦2023-05-05 23:54:26帝国CMS教程已有人查阅
导读通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国cms
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
本文标签:
很赞哦! ()
相关文章
随机图文
-
帝国CMS关闭前台不需要的功能比如注册评论留言等方法
帝国CMS是一款综合内容管理系统,所以自带的功能非常多,但是我们有时候不需要用到某些功能,不关闭可能会被熟悉帝国CMS的人继续使用,比如注册、评论、留言。 -
帝国CMS怎么判断文章前台投稿还是后台发布的方法
帝国CMS怎么判断文章前台投稿还是后台发布的方法 -
帝国CMS模板使用灵动标签调用管理信息反馈中内容的方法
如何前台调用管理信息反馈中的内容,我需要在前台调用信息反馈的标题,ip地址,内容,网址等。我估计是用sql调用,但是如何调用。 -
帝国CMS模板怎么调用TAGS
帝国CMS TAGS功能很强大,整理此文章专门介绍TAGS相关教程。/e/tags/index.php?&classid=栏目ID&tempid=列表模板ID&tagname=代码号
留言与评论 (共有 条评论) |