我们已经准备好了,你呢?

2024我们与您携手共赢,为您的企业形象保驾护航!

漏洞类型:

跨站脚本攻击(XSS)

所属建站程序:

帝国CMS

所属服务器类型:

通用

所属编程语言:

PHP

描述:

帝国CMS编辑器中存在xss跨站,$InstanceName参数外部获取直接输出

危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

解决方案:

修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中

TranFile.php

TranFlash.php

TranImg.php

TranMedia.php

这个四个文件

$InstanceName=$_GET['InstanceName'];

改为

$InstanceName=htmlspecialchars($_GET['InstanceName']);


顶牛网络凭借多年的网站建设经验,坚持以“做实用有价值的网站”为宗旨,累计为1200多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、网络推广、域名注册、主机空间、托管维护、网站备案等方面的需求...
请立即拨打咨询热线:15906391238,我们会为您贡献全力。 项目经理在线 收藏文章

全力 · 以赴

注重专业探索,摒弃虚浮夸张,为所有的企业机构贡献全力。