漏洞类型:跨站脚本攻击(XSS)

所属建站程序:帝国cms

所属服务器类型:通用

所属编程语言:PHP

描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出.

危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的.

解决方案:

修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中

TranFile.php

TranFlash.php

TranImg.php

TranMedia.php

这个四个文件

$InstanceName=$_GET[‘InstanceName’];//开源软件:phpfensi.com

改为:

$InstanceName=htmlspecialchars($_GET[‘InstanceName’]);

 

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。