修复PHP跨站脚本攻击漏洞(XSS)方法

Vlong Vlong 关注 六级站长 VIP
发表于其他技术文章版块
  1、昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达。


  2、神马是XSS,额我也不懂,百度如下:


  用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。


  所以,如果你的网站有XSS漏洞,最好还是修复一下,避免小人利用。


  3、360给出的修复方案:


Image


  代码呢,能写代码的当然好,可惜我不会,所以我选择了360的插件。


  4、修复方法


  360提供的是专站专用的插件,插件代码会和网站有专用的Key,所以请下载前修改域名部分。

http://webscan.360.cn/protect/down?domain=yourdomain.com
  将上面yourdomain.com修改为你的域名,然后浏览器访问就可以下载插件。


  把插件解压上传至根目录,剩下就是开启插件了。


  按照360教程,是要在网站中的一个公用文件(如数据库的链接文件)中插入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
    require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} //注意文件路径

Image

(当时忘记截图,只能百度找了张样片emotion


  代码可以添加到网站根目录下的index.php,或数据库连接文件。但目前网站更新频繁,index.php十有八九会被替换掉,所以数据库连接文件是最合适的!


  SO?数据库链接文件在哪?我不清楚,翻看了所有php文件,最可能的是puyuetian\mysql\class.php


  OK,找到了,那就把代码加到第一个<?php之后:

Image


  5、重新检测,跨站脚本攻击漏洞(XSS)修复成功!!


至此,以解决本人遇到的问题,希望能给后来同此烦恼的站长一点帮助!emotion

评论列表 评论
Vlong Vlong 六级站长 VIP 2#
附上360检测网站:http://webscan.360.cn/
共0条回复,点击查看回复
发布评论

评论: 修复PHP跨站脚本攻击漏洞(XSS)方法

已有0次打赏
(10) 分享
分享

请保存二维码或复制链接进行分享

取消