请选择 进入手机版 | 继续访问电脑版

巅峰霸主

 找回密码
 立即注册

QQ登录

只需一步,快速开始

DEDECMS网站被黑,跨站攻击RemoveXSS漏洞修复方法

  [复制链接] [添加相关主题]
godkings 发表于 2020-1-9 04:47:04 | 显示全部楼层 |阅读模式
removeXSS表现情况,DEDECMS网站刚刚上线几天,网站风格大变,变成了红的,蓝的,非常吸引人眼球的内容,频繁还有美女跳出。即使你连续翻页了50页,把能点开的链接都点开看了,自己也尝试着设置了一些目录权限,修改了一些已知的漏洞,还把织梦cms系统升级到了官方发布的最新版本。

可是做完这些修改之后问题依旧,首页重新生成了之后,过不了一会以又被重新覆盖回来。

首页中的美女依旧欢呼雀跃,时不时的还发出声音,像是对你提出了又一波的挑衅。

虽然你网站的用户名密码,mysql的用户名密码已经足够复杂,可是仍然没有用处。
你猜测可能是有一个XSS漏洞,于是你开始了代码审核,你一夜都没有休息,在大约凌晨4点的时候,你发现织梦cms的RemoveXSS函数存在缺陷,可以被绕过。

这个漏洞存在于登录界面中。

RemoveXSS漏洞修复方法:
打开include/helper/filter.helper.php,搜索
  1. $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
复制代码

在其上面添加
  1. $val = htmlspecialchars($val);
复制代码
保存上传就可以了。

如果你的服务器上安装的是php5.4以下版本则没有htmlspecialchars函数,需要使用织梦的自定义函数dede_htmlspecialchars来替换。


上一篇:dedecms当前位置标签代码的5种调用方法
下一篇:织梦dedecms漏洞修复大全(5.7以上版本)修复方法

相关帖子

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|巅峰霸主 ( 京ICP备12023415号-2 )

声明:本站的任何信息和内容仅代表作者的立场和观点,与巅峰霸主网无关。

禁止在巅峰霸主网发布任何与《中华人民共和国法律》相抵触的言论!

GMT+8, 2020-1-19 13:11 , Processed in 0.081671 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表