问:
1.网站安全事件1.1武汉博宇教育咨询有限公司(www.hbjjxyzk.com)网站漏洞网站篡改网站仿冒访问异常1000 1.1.1网站漏洞注:网站漏洞描述及解决方案详见附录1附录1.网站漏洞描述及解决方案1漏洞名称 跨站脚本漏洞(CVE影响级别重大事件漏洞描述 5.7 SP2版本中的plus/qrcode.php页面存在跨站脚本漏洞。远程攻击者可借助‘type’参数利用该漏洞注入任意的Web脚本或HTML。 受影响的版本: – 5.7 SP2漏洞urlhttp://www.hbjjxyzk.com/plus/qrcode.php?id=0&type=aaa%22%3E%3Cscript%3Ealert(1)%3C%2fscript%3E验证截图 备案信息解决方案1.过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如<<(尖括号)、\”(引号)、 \’(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、 (加号)等。2.严格控制输出可以利用下面这些函数对出现xss漏洞的参数进行过滤1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。2、htmlentities() 函数,用于转义处理在页面上显示的文本。3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。4、header() 函数,使用header(\”Content-type:application/json\”); 用于控制 json 数据的头部,不用于浏览。5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。6、intval() 函数用于处理数值型参数输出页面中。7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。各语言示例: PHP的htmlentities()或是htmlspecialchars()。 的cgi.escape()。 ASP的server=demo()。 ASP.NET的server=demo()或功能更强的 Anti-Cross Site Library Java的xssprotect(Open Library)。 Node.js的node-validator。3.联系厂商进行版本升级与漏洞修复
,网站安全事件武汉博宇教育咨询有限公司网站漏洞网站篡改网站仿冒访
答:您好,您反馈的是程序漏洞(DedeCMS 跨站脚本漏洞),我司作为服务器提供商无法封堵程序漏洞,具体您可参考 https://www.cnblogs.com/wangtanzhi/p/.html 和 https://www.cnvd.org.cn/flaw/show/CNVD ,需要联系程序提供商进行操作 ,或升级最新版程序;但我司提供了相关安全防护教程 https://www.35.com/faq/search.asp?where=title&tp=2&keyword=dede 您可参考 进行设置 ,非常感谢您长期对我司的支持!
三五互联(35.com)是经工信部、ICANN、CNNIC认证审批,持有ISP、云牌照、IDC、CDN、顶级域名注册商等全业务资质的正规老牌服务商,自成立至今20余年专注于域名注册、虚拟主机、云服务器、企业邮箱、企业建站等互联网基础服务!
截止目前,已经为超过2000万个域名提供了注册、解析等服务,是中国五星级域名注册注册商!已为超过50万个网站提供了高速稳定的云托管服务,获评中国最受用户喜欢云主机服务商。
三五互联提供全方位7X24H专业售后支撑,域名注册特价1元起,高速稳定云主机45元起,更多详情请浏览三五互联官网:https://www.35.com/
