Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[不是BUG] 今天有人给我发消息说的SS7.0做的站有跨站漏洞

[复制链接]
我是传说 发表于 2010-4-11 22:32:10 | 显示全部楼层 |阅读模式
今天晚上QQ上有个人给我发消息说我的站有漏洞,说他跟另外一个人有矛盾,想黑他的站,结果搞错对象,搞的是我的站,本来漏洞都找到了,发现不是哪个人的,所以就告诉我了。

我不知道怎么修改漏洞,把聊天记录发上来 大侠们帮忙看看.我的站是SS7.0+UCENTER1.5 都是GBK版本的.

大富翁是我的号

下面是聊天记录:
spectre..  21:57:47
你的网站可以执行HTML代码的,  你快修复一下吧。。
大富翁  21:57:52
我一打开那个你就能控制我了?不会这么牛吧?
大富翁  21:57:57
怎么修复啊?
.spectre..  21:58:19
呵呵,   你进后台后,   允许以后不用输入密码,  你的密码就没有了。。 呵呵
.spectre..  21:58:30
百度搜索一下啊。。  跨站漏洞怎么解决
大富翁  21:59:28
好的,谢谢。我最近没得罪什么人啊,怎么会有人整我呢,而且这个站都是新站
.spectre..  22:00:04
因为那个图片里, 有欺骗COOKIE的HTML代码,  你可以用记事本打开这个图片的
.spectre..  22:00:25
恩,  呵呵,  可能是恶意的吧。。
大富翁  22:01:10
那个图片不是真的图片?难道只是修改了后缀名
.spectre..  22:01:41
跨站漏洞可以实行XSS攻击的,  可以执行任意JAVAscript代码,  所以可以得到你的账号密码,  有了方法,  就知道怎么防了。。
.spectre..  22:01:48
恩 ,  是的
.spectre..  22:02:08

.spectre..  22:03:04
     在此向你道歉,  呵呵~~
大富翁  22:03:36
我现在是不是把那个图片删掉就可以了,然后我修改掉这个漏洞就行了?
.spectre..  22:03:45
恩,  是的。。
.spectre..  22:04:23
会员可以上传文件的,  特制的图片,  等你进入后台,存在COOKIE文件时,  其他人都可以进后台了
.spectre..  22:04:53
因为COOKIE代表你的身份。。 有了你的COOKIE,  就可以冒充你了


我到论坛上找到一篇帖子 https://discuz.dismall.com/thread-514571-1-1.html
查看了 log目录下的admincplog.php文件,没找到tpl等关键字,也没发现errorlog.php这个文件。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
 楼主| 我是传说 发表于 2010-4-11 22:33:23 | 显示全部楼层
我这个站刚转移到美国的虚拟空间上
回复

使用道具 举报

 楼主| 我是传说 发表于 2010-4-11 22:34:34 | 显示全部楼层
他好像是发了个了帖子,还上传了几个附件格式都是JPG的,文章的标题是<script........>这样的字符
回复

使用道具 举报

 楼主| 我是传说 发表于 2010-4-12 14:25:38 | 显示全部楼层
有人能告诉下不
回复

使用道具 举报

wj7994712 发表于 2010-4-22 19:54:00 | 显示全部楼层
7.5应该也有这个漏洞,我的站也经常被挂黑链接
回复

使用道具 举报

 楼主| 我是传说 发表于 2010-4-22 20:22:30 | 显示全部楼层
我发现在这个论坛里发帖子,回帖的一般是遇到相同问题的人
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-15 06:54 , Processed in 0.029983 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表