問:
1.網站安全事件1.1武漢博宇教育咨詢有限公司(www.hbjjxyzk.com)網站漏洞網站篡改網站仿冒訪問異常1000 1.1.1網站漏洞注:網站漏洞描述及解決方案詳見附錄1附錄1.網站漏洞描述及解決方案1漏洞名稱 跨站腳本漏洞(CVE影響級別重大事件漏洞描述 5.7 SP2版本中的plus/qrcode.php頁面存在跨站腳本漏洞。遠程攻擊者可借助‘type’參數利用該漏洞注入任意的Web腳本或HTML。 受影響的版本: – 5.7 SP2漏洞urlhttp://www.hbjjxyzk.com/plus/qrcode.php?id=0&type=aaa%22%3E%3Cscript%3Ealert(1)%3C%2fscript%3E驗證截圖 備案信息解決方案1.過濾用戶輸入的內容,檢查用戶輸入的內容中是否有非法內容。如<<(尖括號)、\”(引號)、 \’(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、 (加號)等。2.嚴格控制輸出可以利用下面這些函數對出現xss漏洞的參數進行過濾1、htmlspecialchars() 函數,用于轉義處理在頁面上顯示的文本。2、htmlentities() 函數,用于轉義處理在頁面上顯示的文本。3、strip_tags() 函數,過濾掉輸入、輸出里面的惡意標簽。4、header() 函數,使用header(\”Content-type:application/json\”); 用于控制 json 數據的頭部,不用于瀏覽。5、urlencode() 函數,用于輸出處理字符型參數帶入頁面鏈接中。6、intval() 函數用于處理數值型參數輸出頁面中。7、自定義函數,在大多情況下,要使用一些常用的 html 標簽,以美化頁面顯示,如留言、小紙條。那么在這樣的情況下,要采用白名單的方法使用合法的標簽顯示,過濾掉非法的字符。各語言示例: PHP的htmlentities()或是htmlspecialchars()。 的cgi.escape()。 ASP的server=demo()。 ASP.NET的server=demo()或功能更強的 Anti-Cross Site Library Java的xssprotect(Open Library)。 Node.js的node-validator。3.聯系廠商進行版本升級與漏洞修復
,網站安全事件武漢博宇教育咨詢有限公司網站漏洞網站篡改網站仿冒訪
答:您好,您反饋的是程序漏洞(DedeCMS 跨站腳本漏洞),我司作為服務器提供商無法封堵程序漏洞,具體您可參考 https://www.cnblogs.com/wangtanzhi/p/.html 和 https://www.cnvd.org.cn/flaw/show/CNVD ,需要聯系程序提供商進行操作 ,或升級最新版程序;但我司提供了相關安全防護教程 http://m.shinetop.cn/faq/search.asp?where=title&tp=2&keyword=dede 您可參考 進行設置 ,非常感謝您長期對我司的支持!
三五互聯(35.com)是經工信部、ICANN、CNNIC認證審批,持有ISP、云牌照、IDC、CDN、頂級域名注冊商等全業務資質的正規老牌服務商,自成立至今20余年專注于域名注冊、虛擬主機、云服務器、企業郵箱、企業建站等互聯網基礎服務!
截止目前,已經為超過2000萬個域名提供了注冊、解析等服務,是中國五星級域名注冊注冊商!已為超過50萬個網站提供了高速穩定的云托管服務,獲評中國最受用戶喜歡云主機服務商。
三五互聯提供全方位7X24H專業售后支撐,域名注冊特價1元起,高速穩定云主機45元起,更多詳情請瀏覽三五互聯官網:http://m.shinetop.cn/
