无忧主机小编在日常处理客户网站问题时,经常遇到网站因为程序漏洞出现的问题。网站安全的发展,才能使得管理者放心营运。但是比较无奈的是,漏洞问题貌似屡见不鲜,就算再强大、再常用的程序,都会有诸如漏洞的问题,如discuz。下面是我们今天要讲的漏洞:

qq互联插件dom xss漏洞

关于漏洞的描述:

在JS字符串中,字符还可以表示为unicode的形式。

即:单引号还可以表示为\u0027或\x27。由于没有过滤" \ " 绕过了防御,形成漏洞。

关于漏洞的危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

解决方法:

临时解决方案: (感谢站长飞鸟网络提供的临时解决方案)

Discuz! X2 需要修改的文件: \source\module\connect\connect_login.php

Discuz! X2.5 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

Discuz! X3.0 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

(版本不同,修复方法是一样的)

在19行 $referer = dreferer(); 的上面加上如下代码:

$_GET['referer'] = strtr($_GET['referer'],'\\','/');

官方补丁:

2013-2-22 官方已发布补丁,推荐站长使用官方补丁进行升级

相关文章推荐阅读:

Wo Discuz!X小提示论坛FLASH配置不当漏洞警告的解决方法

Discuz! X2.5在线升级BUG:“static/image/postbg/3.jpg下载出现问题”

Discuz x3.1漏洞导致的QQ登入失败,提示“(1054) Unknown column ‘conuintoken’ in ‘field list’”

本文地址:https://www.51php.com/discuz/13631.html

xss防御补丁_Discuz论坛最新dom xss漏洞的解决方法相关推荐

  1. matlab memory 代数环,[2018年最新整理]simulink代数环解决方法.doc

    [2018年最新整理]simulink代数环解决方法 一,代数环 在simulink中,直接馈通定义为系统的输出直接依赖输入,也就是说,模块的输出方程中包含输入则此模块具备直接馈通特性将带有直接馈通特 ...

  2. 会声会影V2021新补丁及安装教程中出现的错误解决方法

    拿会声会影2018安装教程分享,详见文章末尾最新会声会影版. ps:部分国内杀毒软件未收录会声会影2018新补丁,建议在安装软件前,先检查是否有杀毒软件运行,如有运行,请关闭杀毒软件. 1.下载完成后 ...

  3. mysql报196271错误_微软补丁造成MYSQL及Windows经常连接失败解决方法

    [数据库闪断]微软补丁KB967723造成MySQL频繁无法连接的解决办法 微软补丁KB967723造成MySQL频繁无法连接,刷新即恢复正常的解决方法 (Can not connect to MyS ...

  4. Windows 7安全补丁KB3110329遭遇更新失败 且暂无解决方法

    微软2016年的首波Patch Tuesday更新似乎又出了些差错,其中一个更新无法正确安装至Windows 7设备,而且暂时没有可行的解决方案.微软社区论坛有人发帖表示,安全更新KB3110329在 ...

  5. 黑苹果 惠普笔记本电池补丁_惠普笔记本电池无法充电问题的解决方法

    笔记本电池无法充电,先别急更换,试试以下几个方法,省时省力还省钱! 问题1. 电池处于高电量,提示未充电 知识点: 在每次充放电中,电池的容量都将会不可逆转地逐渐减少 如果连接电源后就立即充电,会增加 ...

  6. ie11兼容性视图设置_OA办公系统在最新IE11下不能使用解决方法

    某单位的"致远A8办公系统"是十多年前采购的,以前就说只支持IE浏览器,所以系统里面的IE一直卸载.当然办公系统和win10的IE配合还是很好的,虽然有的时候反应巨慢. 上个月老婆 ...

  7. discuz论坛出现“请求来路不明”提示的解决方法

    原因:discuz为了防止跨站脚本攻击,对请求的IP有限制 1.apaceh做代理服务器,nginx做WEB服务器 在apache配置中加入 ProxyPreserveHost on 2.nginx做 ...

  8. XSS是什么?如何防御?手摸手教你Springboot配置XSS防御,深入代码解析!

    XSS防御 一.简单了解一下XSS 二.如何防御 SpringBoot配置XSS防御 代码解析 一.简单了解一下XSS 来,百度先抄一段. HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别 ...

  9. windows10自动升级补丁后,导致共享打印机无法连接的解决方法

    微软公司发布了最新的Windows10更新补丁KB5007186,但是不少小伙伴反映自己更新了之后连接不了打印机,下面小编来跟大家说说windows10升级补丁后共享打印机连接不了的解决方法吧. wi ...

最新文章

  1. NSubstitute完全手册(二)创建替代实例
  2. 使用vlc播放m3u8网络视频教程
  3. 申论万用句型——背下来
  4. java.lang.NoClassDefFoundError: org/springframework/dao/support/PersistenceE解决方法
  5. TCP/IP / PDU 是什么
  6. 如何做好Serv-U安全设置,保护FTP服务器安全
  7. 理解至上:数位dp(ybtoj-B数计数)
  8. opencv30-图像矩
  9. Raspbian 源替换
  10. 2.7 if应用:猜拳游戏
  11. 网页中透明Flash的设置
  12. 第7章 文件和数据格式化
  13. my资源列表一 (csdn 99% 0分资源下载)
  14. python小课风变编程_风变编程Python小课最近很火,大家学完感受如何?
  15. 宋朝历史衰败原因大揭秘
  16. 最新青龙面板安装教程+依赖+拉库合集
  17. C语言实训 实训项目一 统计歌唱比赛成绩
  18. 打造高大上的Canvas粒子动画
  19. springcloud 加入spring session通过zuul请求session不一致问题
  20. 英语常见短语汇总001

热门文章

  1. 前端学习(1675):前端系列实战课程之无缝滚动思路
  2. 前端学习(1427):ajax封装二
  3. 前端学习(361):svn操作后续
  4. mybatis学习(44):二级缓存1
  5. spring学习(36):注入简单类型
  6. JS之Boolean的valueOf方法
  7. 乔治敦大学计算机专业排名,2020USNEWS数据科学与分析专业综合排名(上)
  8. linux查找时间文件,Linux基础教程 linux下使用find命令根据系统时间查找文件用法(示例代码)...
  9. redis笔记——redis事务及锁应用
  10. 上传文件至数据库并下载