收藏文章 楼主
修复PHP跨站脚本攻击漏洞(XSS)方法
版块:其他技术文章   类型:普通   作者:Vlong   查看:12999   回复:1   获赞:10   时间:2016-08-05 13:13:11
  1、昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达。


  2、神马是XSS,额我也不懂,百度如下:


  用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。


  所以,如果你的网站有XSS漏洞,最好还是修复一下,避免小人利用。


  3、360给出的修复方案:


Image


  代码呢,能写代码的当然好,可惜我不会,所以我选择了360的插件。


  4、修复方法


  360提供的是专站专用的插件,插件代码会和网站有专用的Key,所以请下载前修改域名部分。

http://webscan.360.cn/protect/down?domain=yourdomain.com
  将上面yourdomain.com修改为你的域名,然后浏览器访问就可以下载插件。


  把插件解压上传至根目录,剩下就是开启插件了。


  按照360教程,是要在网站中的一个公用文件(如数据库的链接文件)中插入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
    require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} //注意文件路径

Image

(当时忘记截图,只能百度找了张样片emotion


  代码可以添加到网站根目录下的index.php,或数据库连接文件。但目前网站更新频繁,index.php十有八九会被替换掉,所以数据库连接文件是最合适的!


  SO?数据库链接文件在哪?我不清楚,翻看了所有php文件,最可能的是puyuetian\mysql\class.php


  OK,找到了,那就把代码加到第一个<?php之后:

Image


  5、重新检测,跨站脚本攻击漏洞(XSS)修复成功!!


至此,以解决本人遇到的问题,希望能给后来同此烦恼的站长一点帮助!emotion

 
回复列表
默认   热门   正序   倒序
Vlong
2F
VlongLv87
附上360检测网站:http://webscan.360.cn/
 4   2016-08-05 13:18:07  回复

回复:修复PHP跨站脚本攻击漏洞(XSS)方法

暂无用户组
退出
等级:0级
天豆:
游客:

公告

近期本站被人为恶意注册及发布垃圾帖,本站已开启普通用户发帖审核功能,VIP系列用户组不受影响,一但发现发布违法或垃圾帖的用户,该用户账号将会被永久封号,请大家共同维护互联网环境,共创美好互联网未来。

永久免费,购授权享豪礼

3年个人版授权+1940天豆仅需194元

终身个人版授权+3880天豆仅需388元

3年尊享版授权+13580天豆仅需1358元

终身尊享版授权+27160天豆仅需2716元

Powered by HadSky 7.9.3

©2015 - 2021 HadSky

购买产品 用户文档 加入QQ群 授权查询 网站绑定 客户案例 陕ICP备13005805号

您的IP:3.89.204.127,2021-12-02 18:26:51,Processed in 0.03805 second(s).

支持原创软件,抵制盗版,共创美好明天!
头像

用户名:

粉丝数:

签名:

资料 关注 好友 消息
已有0次打赏
(10) 分享
分享

请保存二维码或复制链接进行分享

取消