当前位置:首页 » Emlog教程 » emlog模板防止跨站漏洞教程(所有模板作者请务必阅读)

emlog模板防止跨站漏洞教程(所有模板作者请务必阅读)

进过我的调查,发现大家贡献很多的模板中都没有对URL中的参数进行必要的过滤,从而给黑客留下跨站攻击的空子。
在这里我举一个典型的例子供大家参考,下面是某个CMS模板输出搜索关键词的代码,
?php }elseif($params[1]=='keyword'){ ?>
关键词 <b><?php echo urldecode($params[2]);?></b> 的搜索结果
请 注意$params[2]变量没有任何过滤的就直接输出了,而我们可以构造/index.php?keyword=8<img src=1 width=500 height=500 onerror=alert(1)>在页面上运行javascript代码alert(1). 黑客在攻击时可以把alert(1)替换为攻击代码(比如获取访问者的cookie信息)后发给站长。如果站长不小心点了链接,那么黑客就能获取站长登陆 状态的cookie,有了cookie,就能冒充站长登陆站点后台做他想做的任何事情了。

综上所述,为了各位用户的安全着想,请各位模板作者在输出URL参数时使用PHP的htmlspecialchars函数来进行过滤,防止XSS攻击,像上面例子中的代码可以修改为
?php }elseif($params[1]=='keyword'){ ?>
关键词 <b><?php echo htmlspecialchars(urldecode($params[2]));?></b> 的搜索结果

最后还是要感谢各位模板的作者为emlog的无私付出,希望这篇教程能给大家做出安全好用的模板提供一定的帮助。

本文来源于emlog论坛,由em管理员:朦胧之影 发布
End
关键词: emlog Emlog代码
温馨提示:如果您对本文有疑问,请在本页留言即可!!!
觉得很赞 (0)付款方式
X
付款方式:
  • 微信
  • 支付宝
  • QQ红包

使用微信扫一扫
blogger
    发布日期:2014-08-25   所属类别:Emlog教程   浏览:7067次   评论:4次
    本文地址:https://www.shuyong.net/iemlog/403.html [ 百度已收录 ]
    声明:本页信息由网友自行发布或来源于网络,真实性、合法性由发布人负责,请仔细甄别!本站只为传递信息,我们不做任何双方证明,也不承担任何法律责任。文章内容若侵犯你的权益,请联系本站删除!

留言/评论:◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

填写好QQ号码,任点空白处自动获取

昵称

邮箱

网址

2楼、悟空网赚 [回复该留言]
2014-08-26 15:37
路过关注下。欢迎回访悟空博客
舍力(博主) [回复该留言]
2014-08-26 15:41
@悟空网赚:欢迎,已回访!
1楼、小强 [回复该留言]
2014-08-25 15:40
这只是cms模版有的漏洞吗?
舍力(博主) [回复该留言]
2014-08-25 17:56
@小强:主要看模板作者是怎么写的了,按照文章作者给出的解决方法,至少360没有提示漏洞了。。

个人资料

舍力

博主:舍力

Emlog交流群

    用心做好每一件事!!!

博客统计

  • 文章数量:1132篇
  • 文章评论:3510条
  • 总访问量:9382297次
  • 微语数量:81条
  • 在线人数:2人
  • 本站运行:10年7月5天
  • 估计博主很忙,已经很久没更新了!
Q2 虚位以待
Copyright © 2024 舍力博客 版权所有   粤ICP备11021420号
基于宝塔面板,数据存储于阿里云ECS
Powered by emlog / &Author 舍力博客.