前端录网站,记录前端点点滴滴,帮助程序猿快速成长!

v9 跨站脚本攻击漏洞

PHPCMSV9
漏洞描述:

1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。
 
2.由于PHPCMS的api.php中对多个参数未作处理,导致XSS漏洞。

危害:
 
恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。(这次客户的网站就是被挂了很多垃圾页面)

解决方案:

找到api/map.php,将270行
 
echo $city;
 
改成:
 
echo htmlspecialchars($city);




转载请注明:前端录»v9 跨站脚本攻击漏洞