小编给大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修复,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
前段时间在用ecshop建站的时候,360报警说出现了严重的漏洞:
Ecshop pages.lbi.php Xss漏洞
==============================我是分割线==================================
于是用360防护脚本,但没起到任何作用。于是只好自己动手。
先来分析这个漏洞的原因:
直接访问temp/compiled/pages.lbi.php时,浏览源文件,会发现如下代码:
<form name="selectPageForm" action="temp/compiled/pages.lbi.php" method="get">
显然这个form是不完全的。当构造这样的url访问时,会造成在客户端执行代码:
temp/compiled/pages.lbi.php/"</form><sCripT>alert(/cfreer/)</scRipt>
很显然,这个漏洞的原理就是闭合了这个form再在客户端执行javascript.
然后分析出现不闭合form的原因,打开page.lbi.php文件,可以看到如下代码
<form name="selectPageForm" action="<?php echo $_SERVER['PHP_SELF']; ?>" method="get">
<?php if ($this->_var['pager']['styleid'] == 0): ?>
这里执行$this的时候就出现错误了,因为没有进行template的初始化。
既然找到原因了,下面给出解决办法:
打开page.lbi文件,在第二行插入如下代码:
<?php
if (!defined('IN_ECS'))
{
die('Hacking attempt');
}
?>
再次测试,一切正常。
以上是“Ecshop pages.lbi.php Xss漏洞怎么修复”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注天达云行业资讯频道!