無憂主機(jī)小編在日常處理客戶網(wǎng)站問題時，經(jīng)常遇到網(wǎng)站因?yàn)槌绦蚵┒闯霈F(xiàn)的問題。網(wǎng)站安全的發(fā)展，才能使得管理者放心營運(yùn)。但是比較無奈的是，漏洞問題貌似屢見不鮮，就算再強(qiáng)大、再常用的程序，都會有諸如漏洞的問題，如discuz。下面是我們今天要講的漏洞：

qq互聯(lián)插件dom xss漏洞

關(guān)于漏洞的描述：

在JS字符串中，字符還可以表示為unicode的形式。

即：單引號還可以表示為\u0027或\x27。由于沒有過濾" \ " 繞過了防御，形成漏洞。

關(guān)于漏洞的危害：

1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。

2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語言甚至flash應(yīng)用的漏洞來進(jìn)行攻擊，從而來達(dá)到獲取其他的用戶信息目的。

解決方法：

臨時解決方案： (感謝站長飛鳥網(wǎng)絡(luò)提供的臨時解決方案)

Discuz! X2 需要修改的文件: \source\module\connect\connect_login.php

Discuz! X2.5 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

Discuz! X3.0 需要修改的文件: \source\plugin\qqconnect\connect\connect_login.php

(版本不同，修復(fù)方法是一樣的)

在19行 $referer = dreferer(); 的上面加上如下代碼：

$_GET['referer'] = strtr($_GET['referer'],'\\','/');

官方補(bǔ)丁：

2013-2-22 官方已發(fā)布補(bǔ)丁，推薦站長使用官方補(bǔ)丁進(jìn)行升級

相關(guān)文章推薦閱讀：

Wo Discuz!X小提示論壇FLASH配置不當(dāng)漏洞警告的解決方法

Discuz! X2.5在線升級BUG:“static/image/postbg/3.jpg下載出現(xiàn)問題”

Discuz x3.1漏洞導(dǎo)致的QQ登入失敗，提示“(1054) Unknown column ‘conuintoken’ in ‘field list’”

本文地址：https://www.51php.com/discuz/13631.html

總結(jié)

以上是生活随笔為你收集整理的xss防御补丁_Discuz论坛最新dom xss漏洞的解决方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。