Ecshop pages.lbi.php Xss漏洞怎么修复
发表于:2024-10-13 作者:千家信息网编辑
千家信息网最后更新 2024年10月13日,小编给大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修复,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧
千家信息网最后更新 2024年10月13日Ecshop pages.lbi.php Xss漏洞怎么修复
小编给大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修复,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
前段时间在用ecshop建站的时候,360报警说出现了严重的漏洞:
Ecshop pages.lbi.php Xss漏洞
==============================我是分割线==================================
描述:
目标存在跨站脚本***。
1.跨站脚本***就是指恶意***者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie
+ 展开
危害:
恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
解决方案:
临时解决方案:
1.使用360防护脚本
==========================我是分割线=================================
于是用360防护脚本,但没起到任何作用。于是只好自己动手。
先来分析这个漏洞的原因:
直接访问temp/compiled/pages.lbi.php时,浏览源文件,会发现如下代码:
显然这个form是不完全的。当构造这样的url访问时,会造成在客户端执行代码:
temp/compiled/pages.lbi.php/"<sCripT>alert(/cfreer/)scRipt>
很显然,这个漏洞的原理就是闭合了这个form再在客户端执行javascript.
然后分析出现不闭合form的原因,打开page.lbi.php文件,可以看到如下代码
漏洞
代码
用户
恶意
网页
脚本
内容
原因
篇文章
浏览
分割线
客户
客户端
就是
文件
方案
时候
解决方案
分析
闭合
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
同一商品数据库设计
浙江工程软件开发目的
中兴通讯中心软件开发
网络安全文明现状
上海方菱计算机软件开发
中国服务器开荒
北京企业软件开发哪家实惠
公安网络安全评估报告
oracle数据库日期
网络安全年会
河北省廊坊市固安县牛驼镇服务器
网络技术1班一组头像
学校网络安全资料
两会 上的 网络安全提案
国有企业改革工业企业数据库代码
国家国防网络安全
学习网络安全需要准备什么
海南邵赢网络技术公司介绍
魔兽不同服务器送东西
衡水软件开发培训班
智慧水利软件开发
南京网络安全比赛
青浦区口碑好软件开发采购信息
大学生网络安全提醒信息
服务器情侣
网络技术1班一组头像
原始数据库
服务器上光纤口亮一个灯
数据库中有没有htm
通信网络技术岗位职责