web2重新开放啦,进一步的被黑原因还没有头绪
来源:互联网 发布:英雄无敌3高清版 mac 编辑:程序博客网 时间:2024/06/05 17:37
web2重新开放啦,进一步的被黑原因还没有头绪
另一个原因可能是社会工程!!
只是发现有个跨站漏洞,可怎么着也不应该可以修改到父目录里的主页啊!
郁闷中。。这里把wm的跨站漏洞解决办法发下
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
报告漏洞!!跨站
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
下面是管理员easy的回答:
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
下边的结论还没得到管理确认是否正确:
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
报告漏洞的wm地址:http://webmagik.cn/bbs/viewthread.php?tid=600&pid=2121&page=1&extra=page%3D1#pid2121
另一个原因可能是社会工程!!
只是发现有个跨站漏洞,可怎么着也不应该可以修改到父目录里的主页啊!
郁闷中。。这里把wm的跨站漏洞解决办法发下
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
报告漏洞!!跨站
在每个搜索(比如用户登陆后在个人栏目的搜索)里边搜索结果可以导致跨站漏洞,目前还不知道是不是这个原因导致我的站主页(在wm上一级目录中)被黑,
图就不截啦,
如果测试可以直接搜索“<iframe src="http://clin003.com/" width="800" height="236" frameborder="0" ></iframe>” (不带引号)
可以直接使用下边连接测试
http://webmagik.cn/site/?cat=1001&search_text=%3Ciframe+src%3D%22http%3A%2F%2Fclin003.com%2F%22+width%3D%22800%22+height%3D%22236%22+frameborder%3D%22&search_submit=%E6%90%9C%E7%B4%A2&u=sites_list
(这个链接可能已经不能看到效果啦,这个站是wm的演示站点)
这个demo的站点,我的是最新的1.3正式版(从论坛下的),不论问题有没有什么危害,还是希望能尽早过滤这个避免跨站
谢谢,也希望我的站能早点重开(我在等下个版本,现在站点暂时关闭,)
图就不截啦,
如果测试可以直接搜索“<iframe src="http://clin003.com/" width="800" height="236" frameborder="0" ></iframe>” (不带引号)
可以直接使用下边连接测试
http://webmagik.cn/site/?cat=1001&search_text=%3Ciframe+src%3D%22http%3A%2F%2Fclin003.com%2F%22+width%3D%22800%22+height%3D%22236%22+frameborder%3D%22&search_submit=%E6%90%9C%E7%B4%A2&u=sites_list
(这个链接可能已经不能看到效果啦,这个站是wm的演示站点)
这个demo的站点,我的是最新的1.3正式版(从论坛下的),不论问题有没有什么危害,还是希望能尽早过滤这个避免跨站
谢谢,也希望我的站能早点重开(我在等下个版本,现在站点暂时关闭,)
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
下面是管理员easy的回答:
恩 虽然不太可能对服务器上的数据和代码造成影响,不过可能会被人用来钓鱼。多谢反馈。
最简单的修改方案是 直接修改 /meta/module/module_list.tpl.html中的27行
CODE:
为
CODE:
然后在后台重新生成代码
最简单的修改方案是 直接修改 /meta/module/module_list.tpl.html中的27行
if( !empty($_REQUEST['tag']) ) $text = $_REQUEST['tag'];
else $text = $_REQUEST['search_text'];
else $text = $_REQUEST['search_text'];
为
if( !empty($_REQUEST['tag']) ) $text = strip_tags($_REQUEST['tag']);
else $text = strip_tags($_REQUEST['search_text']);
else $text = strip_tags($_REQUEST['search_text']);
然后在后台重新生成代码
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
下边的结论还没得到管理确认是否正确:
还有你说的
是指的 “共享模块管理”的 ——“更新应用程序”吧
别的还没发现可以生成的地方!
QUOTE:
后台重新生成代码
是指的 “共享模块管理”的 ——“更新应用程序”吧
别的还没发现可以生成的地方!
by clin003 at 20070716 from:http://clin003.com/或http://blog.csdn.net/clin003/
报告漏洞的wm地址:http://webmagik.cn/bbs/viewthread.php?tid=600&pid=2121&page=1&extra=page%3D1#pid2121
- web2重新开放啦,进一步的被黑原因还没有头绪
- 网站被黑的10大原因
- 30岁还没有创业成功的原因
- 30岁还没有创业成功的原因
- 开放seetaface的android版啦
- 安全分析:网站被黑的十大原因
- 没头绪的数据库连接
- 头绪
- c++一些还没有弄懂的问题,收集起来,以后慢慢回想,就知道啦!
- 中国承诺进一步开放资本市场
- 毫无头绪的报错
- 独家| 腾讯首次开放“军装照”背后的黑科技!
- 重新开张啦
- 重新开张啦
- 重新开工啦
- 重新开始写啦!
- 博客重新运行啦
- 青苹果论坛重新开放
- javascript中Style之visibility与display的比较.
- java的事件处理
- linux下top命令参数解释
- 使用C#进行Word 2002和Excel 2002编程
- 错误的处理:怎样修改VC++6.0默认分配空间
- web2重新开放啦,进一步的被黑原因还没有头绪
- 让windows xp自动登陆(不要输入用户名和密码)
- asp.net中实现jsp的过滤器
- 程序员合格标准
- Window.Open详解
- vb.net ,右侧滚动条定位
- 保证你现在和未来不失业的十种关键技术
- window 操作系统快捷键大全
- 错误处理规范