忘记密码?

一键登录

草根吧源码论坛

DedeCMS Dialog目录下配置文件XSS漏洞

查看: 620|回复: 0

DedeCMS Dialog目录下配置文件XSS漏洞

[复制链接]

5761

主题

706

热度

2926

贡献

管理员

Rank: 9Rank: 9Rank: 9

DZ专员

发表于 2014-9-28 10:07:13 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
DedeCMS Dialog目录下配置文件XSS漏洞
WASC Threat Classification


发现时间:

2013-04-18

漏洞类型:

跨站脚本攻击(XSS)

所属建站程序:

DedeCMS

所属服务器类型:

通用

所属编程语言:

PHP

描述:

目标站点存在XSS漏洞。

DedeCMS的Dialog目录下的配置文件的多个参数未过滤,导致跨站脚本攻击漏洞。


危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

解决方案:

方案一:定位到include/dialog/config.php文件,
在$gurl = "../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);上面添加如下语句:
$adminDirHand = HtmlReplace($adminDirHand, 1);
具体操作如下图::
草根吧 DedeCMS Dialog目录下配置文件XSS漏洞 配置文件 站长头条 t0188813e9689584df1

方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )

另外, jsp语言可以参考此处



帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表