香港独立IP空间
香港php空间
美国php空间
域名注册

无忧主机小编在日常处理客户网站问题时,经常遇到网站因为程序漏洞出现的问题。网站安全的发展,才能使得管理者放心营运。但是比较无奈的是,漏洞问题貌似屡见不鲜,就算再强大、再常用的程序,都会有诸如漏洞的问题,如discuz。下面是我们今天要讲的漏洞:

qq互联插件dom xss漏洞

 

关于漏洞的描述:

在JS字符串中,字符还可以表示为unicode的形式。

即:单引号还可以表示为\u0027或\x27。由于没有过滤” \ ” 绕过了防御,形成漏洞。

 

关于漏洞的危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

 

解决方法:

临时解决方案: (感谢站长飞鸟网络提供的临时解决方案)

Discuz! X2 需要修改的文件: \source\module\connect\connect_login.php

Discuz! X2.5 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

Discuz! X3.0 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

(版本不同,修复方法是一样的)

在19行 $referer = dreferer(); 的上面加上如下代码:

$_GET[‘referer’] = strtr($_GET[‘referer’],’\\’,’/’);

 

官方补丁:

2013-2-22 官方已发布补丁,推荐站长使用官方补丁进行升级

 

相关文章推荐阅读:

Wo Discuz!X小提示论坛FLASH配置不当漏洞警告的解决方法

Discuz! X2.5在线升级BUG:“static/image/postbg/3.jpg下载出现问题”

Discuz x3.1漏洞导致的QQ登入失败,提示“(1054) Unknown column ‘conuintoken’ in ‘field list’”

 

本文地址:http://www.51php.com/discuz/13631.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读:


搜索技术文档