DedeCMS Dialog目录下配置文件XSS漏洞

今天无忧小编自己的一个使用dedecms建站系统建立的网站用360网站检测工具检测到了一些漏洞，其中有一个XXS漏洞，该漏洞的说明是“DedeCMS的Dialog目录下的配置文件的多个参数未过滤，导致跨站脚本攻击漏洞”。

DedeCMS 5.7 /include/dialog/config.php 跨站脚本漏洞

dedecms漏洞

网站检测出漏洞相信所有的站长都无比头疼，而且加上最近dedecms的漏洞大爆发，很多站长都反应网站被人黑了，或者出现什么其他的问题，这些问题其实很多在平时如果做好了漏洞的修复工作还有程序的升级等操作之后，可以避免大多数的入侵，今天无忧小编就给大家说说怎么去堵上dedecms系统的一个XSS的漏洞。

首先我们先了解下XSS漏洞对我们网站的危害，主要有下面两点：

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录，更甚至可以修改网页呈现给其他用户的内容。

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击，从而来达到获取其他的用户信息目的。

了解危害后相信很多站长都想知道怎么解决这种问题，其实自己的话可以使用较简单的方案来解决：

方案一：

首先第一步：定位到include/dialog/config.php文件，

在$gurl = “../../{$adminDirHand}/login.php?gotopage=”.urlencode($dedeNowurl);上面添加如下语句：

$adminDirHand = HtmlReplace($adminDirHand, 1);

第二步：plus目录下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : ”;改成 $uuid = isset($uuid)? htmlspecialchars($uuid) : ”;之后小编用360的网站漏洞测试过后，就可以发现网站的XXS漏洞消失了，如果这些代码还没修改的站长，建议也可以去修改一下，毕竟只要对网站的运行没有影响，是的系统安全点也是不错的。

方案二：使用防护脚本。（ 需要站长懂得编程并且能够修改服务器代码 ）这边小编使用的是360提供的PHP防护脚本，不过如何使用无忧小编就先不在这边大篇幅的说明了。

Tags: DedeCMS 跨站脚本漏洞

分享到：