今天無憂小編自己的一個(gè)使用dedecms建站系統(tǒng)建立的網(wǎng)站用360網(wǎng)站檢測工具檢測到了一些漏洞，其中有一個(gè)XXS漏洞，該漏洞的說明是“DedeCMS的Dialog目錄下的配置文件的多個(gè)參數(shù)未過濾，導(dǎo)致跨站腳本攻擊漏洞”。 dedecms漏洞 網(wǎng)站檢測出漏洞相信所有的站長都無比頭疼，而且加上最近dedecms的漏洞大爆發(fā)，很多站長都反應(yīng)網(wǎng)站被人黑了，或者出現(xiàn)什么其他的問題，這些問題其實(shí)很多在平時(shí)如果做好了漏洞的修復(fù)工作還有程序的升級(jí)等操作之后，可以避免大多數(shù)的入侵，今天無憂小編就給大家說說怎么去堵上dedecms系統(tǒng)的一個(gè)XSS的漏洞。 首先我們先了解下XSS漏洞對(duì)我們網(wǎng)站的危害，主要有下面兩點(diǎn)： 1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。 2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語言甚至Flash應(yīng)用的漏洞來進(jìn)行攻擊，從而來達(dá)到獲取其他的用戶信息目的。 了解危害后相信很多站長都想知道怎么解決這種問題，其實(shí)自己的話可以使用較簡單的方案來解決： 方案一： 首先第一步：定位到include/dialog/config.php文件， 在$gurl = “../../{$adminDirHand}/login.php?gotopage=”.urlencode($dedeNowurl);上面添加如下語句： $adminDirHand = HtmlReplace($adminDirHand, 1); 第二步：plus目錄下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : ”;改成 $uuid = isset($uuid)? htmlspecialchars($uuid) : ”;之后小編用360的網(wǎng)站漏洞測試過后，就可以發(fā)現(xiàn)網(wǎng)站的XXS漏洞消失了，如果這些代碼還沒修改的站長，建議也可以去修改一下，畢竟只要對(duì)網(wǎng)站的運(yùn)行沒有影響，是的系統(tǒng)安全點(diǎn)也是不錯(cuò)的。 方案二：使用防護(hù)腳本。（ 需要站長懂得編程并且能夠修改服務(wù)器代碼 ）這邊小編使用的是360提供的PHP防護(hù)腳本，不過如何使用無憂小編就先不在這邊大篇幅的說明了。 推薦文章：DEDECMS怎么去掉POWER BY DEDECMS

本文地址：http://www.love62.cn/dedecms/11836.html