漏洞類型:跨站腳本攻擊（XSS）8kS網站目錄_網站網址收錄與提交入口

所屬建站程序:帝國cms8kS網站目錄_網站網址收錄與提交入口

所屬服務器類型:通用8kS網站目錄_網站網址收錄與提交入口

所屬編程語言:PHP8kS網站目錄_網站網址收錄與提交入口

描述:帝國cms編輯器中存在xss跨站，$InstanceName參數外部獲取直接輸出.8kS網站目錄_網站網址收錄與提交入口

危害:8kS網站目錄_網站網址收錄與提交入口

1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網頁呈現給其他用戶的內容8kS網站目錄_網站網址收錄與提交入口

2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語言甚至Flash應用的漏洞來進行攻擊，從而來達到獲取其他的用戶信息目的.8kS網站目錄_網站網址收錄與提交入口

解決方案:8kS網站目錄_網站網址收錄與提交入口

修改目錄/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中8kS網站目錄_網站網址收錄與提交入口

TranFile.php8kS網站目錄_網站網址收錄與提交入口

TranFlash.php8kS網站目錄_網站網址收錄與提交入口

TranImg.php8kS網站目錄_網站網址收錄與提交入口

TranMedia.php8kS網站目錄_網站網址收錄與提交入口

這個四個文件8kS網站目錄_網站網址收錄與提交入口

$InstanceName=$_GET['InstanceName'];//開源軟件:phpfensi.com8kS網站目錄_網站網址收錄與提交入口

改為:8kS網站目錄_網站網址收錄與提交入口

$InstanceName=htmlspecialchars($_GET['InstanceName']);8kS網站目錄_網站網址收錄與提交入口

 8kS網站目錄_網站網址收錄與提交入口

此文由 網站目錄_網站網址收錄與提交入口 編輯，未經允許不得轉載！：