新闻中心

phpcms程序被挂马该如何解决?phpcms脚本攻击漏洞

作者 / 无忧主机 时间 2014-01-09 18:10:09

最近无忧主机小编遇到一个客户使用的程序被挂马了,问是什么问题导致的。小编第一想法是网站程序出现漏洞了,因为很多客户的网站被挂马大部分都是由于网站程序的漏洞引起的,这种情况发生在dedecms上最多。不过今天的主角可不是dedecms,而是phpcms 漏洞描述: 跨站脚本攻击漏洞。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。 2.由于PHPCMS的api.php中对多个参数未作处理,导致XSS漏洞。   危害: 恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。(这次客户的网站就是被挂了很多垃圾页面) 解决方案: 请打上官方最新补丁:http://bbs.phpcms.cn/thread-854157-1-1.html,另外官方补丁不完整,还需修改下面一处: 找到api/map.php,将270行 echo $city; 改成: echo htmlspecialchars($city); 具体方如图:   [caption id="attachment_13475" align="alignnone" width="150"]需要修改 需要修改[/caption] 相关文章推荐阅读: DEDECMS DIALOG目录下配置文件XSS漏洞 无忧主机教你ECSHOP环境下解决搜索SQL注入漏洞 DEDECMS如何用利用2013年7月最新补丁修复安全漏洞的方法

本文地址:https://www.51php.com/phpcms/13474.html

1
1
1
1
1
1
1

客户服务热线

0791-8623-3537

在线客服