include config.php,DedeCMS 5.7 /include/dialog/config.php 跨站脚本漏洞修复方法

最新推荐文章于 2024-08-04 23:03:55 发布
最新推荐文章于 2024-08-04 23:03:55 发布
阅读量372 收藏
点赞数
文章标签: DedeCMS XSS漏洞 安全修复 配置文件 跨站脚本

DedeCMS Dialog目录下配置文件XSS漏洞

今天无忧小编自己的一个使用dedecms建站系统建立的网站用360网站检测工具检测到了一些漏洞,其中有一个XXS漏洞,该漏洞的说明是“DedeCMS的Dialog目录下的配置文件的多个参数未过滤,导致跨站脚本攻击漏洞”。

DedeCMS 5.7 /include/dialog/config.php 跨站脚本漏洞

dedecms漏洞

网站检测出漏洞相信所有的站长都无比头疼,而且加上最近dedecms的漏洞大爆发,很多站长都反应网站被人黑了,或者出现什么其他的问题,这些问题其实很多在平时如果做好了漏洞的修复工作还有程序的升级等操作之后,可以避免大多数的入侵,今天无忧小编就给大家说说怎么去堵上dedecms系统的一个XSS的漏洞。

首先我们先了解下XSS漏洞对我们网站的危害,主要有下面两点:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

了解危害后相信很多站长都想知道怎么解决这种问题,其实自己的话可以使用较简单的方案来解决:

方案一:

首先第一步:定位到include/dialog/config.php文件,

在$gurl =

“../../{$adminDirHand}/login.php?gotopage=”.urlencode($dedeNowurl);上面添加如下语句:

$adminDirHand = HtmlReplace($adminDirHand, 1);

第二步:plus目录下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : ”;改成

$uuid = isset($uuid)? htmlspecialchars($uuid) :

”;之后小编用360的网站漏洞测试过后,就可以发现网站的XXS漏洞消失了,如果这些代码还没修改的站长,建议也可以去修改一下,毕竟只要对网站的运行没有影响,是的系统安全点也是不错的。

方案二:使用防护脚本。( 需要站长懂得编程并且能够修改服务器代码

)这边小编使用的是360提供的PHP防护脚本,不过如何使用无忧小编就先不在这边大篇幅的说明了。

weixin_39963440
关注
Failed to compile. ./src/main.js Module build failed (from ./node_modules/@vue/cli-plugin-babel/node
郭宝的博客
01-07 3419
背景: Failed to compile. ./src/main.js Module build failed (from ./node_modules/@vue/cli-plugin-babel/node_modules/babel-loader/lib/index.js): Error: Cannot find module 'babel-plugin-import' from 'C:\Users\Administrator\WebstormProjects\memorial' at..
织梦DedeCMS select_soft_post.php任意文件上传漏洞解决办法
qq_31763129的博客
04-26 6666
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤,具体操作方法如下: 我们找到并打开/include/dialog/select_...
PHP 跨站脚本攻击漏洞修复 v1.0
05-18
PHP 跨站脚本攻击漏洞修复插件,php防护代码,依托360的360_safe3.php文件,使用方法:1.将360_safe3.php传到要包含的文件的目录,2.在页面中加入防护,有两种做法,根据情况二选一即可:   a).在所需要防护的页面加入代码   require_once('360_safe3.php');   就可以做到页面防注入、跨站   如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!   添加require_once('360_safe3.php');来调用本代码 运行环境:PHP
DedeCMS 5.7 config.php 跨站脚本漏洞
weixin_30633949的博客
12-26 466
漏洞版本: DedeCMS 5.7 漏洞描述: DeDeCMS v5.7 在/include/dialog/config.php文件中存在XSS漏洞,攻击者可以利用该漏洞盗取用户Cookie、挂马等。 <* 参考 http://bbs.dedecms.com/612431.htmlhttp://sebug.net/appdir/DedeCMS *> 安...
常见CMS漏洞(WordPress、DeDeCMS、ASPCMS、PHPMyadmin、Pageadmin)
最新发布
2301_76631050的博客
08-04 1049
利⽤mysql⽇志⽂件写shell,这个⽇志可以在mysql⾥改变它的存放位置,登录phpmyadmin可以修改这个存放位置,并且可以修改它的后缀名。PageAdmin CMS系统是基于.Net的⽹站管理系统,安全、稳定、灵活,全国⽤户超过百万,致⼒于为企业、学校、政府⽹站建设和⽹站制作提供企业级内容管理系统解决⽅案。路径: E:\phpstudy_pro\Extensions\MySQL5.7.26\data\。猜测web路径: E:\phpstudy_pro\WWW。不要用\,如里要用\\(转义)
Dialog漏洞
OAOAAce的专栏
01-29 650
01-29 10:43:28.717: E/AndroidRuntime(3953): FATAL EXCEPTION: main 01-29 10:43:28.717: E/AndroidRuntime(3953): Process: cn.beeba.app, PID: 3953 01-29 10:43:28.717: E/AndroidRuntime(3953): java.lang.Il
config.php 注入,FreePBX admin/config.php页面SQL注入漏洞
weixin_29798379的博客
04-01 279
发布日期:2010-09-23更新日期:2010-09-26受影响系统:FreePBX FreePBX 2.8.0描述:--------------------------------------------------------------------------------FreePBX之前被称为Asterisk Management Portal,是IP电话工具Asterisk的标准化实现...
修补跨站脚本攻击漏洞 php版 v1.0
10-25
可以修补动网论坛等php建的网站的跨站脚本攻击漏洞,修护XSS漏洞,此为php版的,还有asp版、aspx版,可以在本站下载 详情请参看:http://www.lbhao.com/detaile_ok-5-833.html
dedecms5.7最新漏洞修复
a1079540945的专栏
10-15 4191
文章来源:武汉八音猫科技有限公司
Python通过logging.config.fileConfig()配置日志
热门推荐
天涯的博客
09-11 1万+
1、简介 Python添加配置的方式有好几种,这里只介绍通过config文件方式,配置log日志。相对于直接在文件中配置日志,这种配置方式可以将日志配置和代码分离,方便代码的维护和日志管理。 2、步骤 新建配置文件logging.conf,用于存放logging配置文件的信息。 [loggers] # 配置logger信息。必须包含一个名字叫做root的logger,当使用无参函数log...
CMS V5.7 SP2漏洞复现(CVE-2018-20129)
haoaaao的博客
04-04 4781
0x00 前置 1、CVE中对该漏洞的描述: 在 DedeCMS V5.7 SP2 中发现了一个问题。uploads/include/dialog/select_images_post.php 允许远程攻击者通过双扩展名和修改的“.php”子字符串以及 image/jpeg 内容类型上传和执行任意 PHP 代码,如 filename=1 所示。 jpg.p*hp 值。 2、所需工具 (1)cms网站源码版本:DedeCMS V5.7 SP2 下载链接...
php防止跨脚本攻击,php中防止xss跨站脚本攻击解决方法有哪些
weixin_33859931的博客
03-11 280
我们都知道,php网站程序虽然容易上手,但一直都有新的漏洞爆出,今天就给大家来说说最基本的一种漏洞xss脚本攻击漏洞,虽然这种漏洞存在已久,但目前还是有很多php站点遭受这种漏洞攻击。我们怎么来判断真假的站点有没有这种漏洞呢?其实很简单,只需要在你的网站域名后带上相关参数即可测试。例如 127.0.0.1/index.php?id=11,我们输出看看,是正常显示的,我们再来把后面的参数改改127....
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
09-12 1710
漏刻有时采用PHP-MVC结构,在参数传递过程中,已做参数过滤。在实际进行脚本攻击的时候会使用。
dedecms 如何修补XSS跨站脚本攻击
书写人生
12-04 1074
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意 攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的 shell。技术虽然是老技术,但是其思路希望对大家有帮助。
php 防止跨站脚本攻击,如何应用php防止XSS跨站脚本攻击
weixin_42498206的博客
03-09 594
如何应用php防止XSS跨站脚本攻击发表于2019-05-16 14:50|次阅读|来源网络整理|作者session摘要:如何应用php防止XSS跨站脚本攻击如何应用php防止XSS跨站脚本攻击首先,跨站脚本攻击都是因为对用户的输入没有停止严厉的过滤形成的,所以咱们必须在一切数据进入咱们的网站和数据库之前把能够的风险阻拦。针对非法的HTML代码包括单双引号等,可能利用htmlentities()函...
PHP 安全漏洞:会话劫持、跨站脚本、SQL 注入以及如何修复它们
allway2的博客
08-01 1488
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网站易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
php config引用,关于include引用config.php的路径问题
weixin_42298507的博客
03-22 663
You can local fix it and submit a commit to GitHub.Thanks!Sent from my Windows PhoneFrom: Jesse Zhumailto:notifications@github.comSent: ‎4/‎5/‎2014 17:06To: AstroProfundis/embrrmailto:embrr@noreply.gi...
config.php渗透,phpMyAdmin 渗透利用总结
weixin_32573931的博客
03-23 391
前言总结一下常见的phpmyadmin漏洞利用姿势简介phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行...
/dede/plus_bshare.php,DEDE CMS 最新漏洞整理 - 接dedecms挂马防护、漏洞处理
weixin_33970994的博客
03-23 334
dedecms支付模块注入漏洞:引起的文件是/include/payment/alipay.php问题解决:找到:$order_sn = trim($_GET['out_trade_no']);将其修改为如下代码:$order_sn = trim(addslashes($_GET['out_trade_no']));-----------------------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值