是不是又出漏洞了?360安全检测提示重大漏洞

2016-07-07 15:11 来源:www.chinab4c.com 作者:ecshop专家

我当前版本为:
3601.jpg

漏洞提示为:
3602.jpg


漏洞内容为:


跨站脚本攻击漏洞

WASC Threat Classification



发现时间:
漏洞类型:

跨站脚本攻击(XSS)

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:

目标存在跨站脚本攻击。

1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来**浏览器cookie

+ 展开
危害:

1.恶意用户可以使用该漏洞来**用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。

+ 展开
解决方案:

方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。


回答:
Ecshop version XSS漏洞
WASC Threat Classification
发现时间:
2014-03-19
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
Ecshop
所属服务器类型:
通用
所属编程语言:
PHP
描述:
目标站点存在跨站脚本攻击漏洞。
1. 跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来**浏览器cookie。
+ 展开
危害:
1.恶意用户可以使用该漏洞来**用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
+ 展开
解决方案:
临时解决方案:
把admin/receive.php文件中的(约21行)
$version=$_GET['version'];
改为
$version=htmlspecialchars($_GET['version']);