Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

我最牛插件 存在注入漏洞和暴库漏洞

[复制链接]
daveyzhang 发表于 2010-9-3 13:46:17 | 显示全部楼层 |阅读模式
本帖最后由 daveyzhang 于 2010-9-3 13:49 编辑

希望正式运营的网站注意下, 本人正在研究修补, 完成之后会发布上来.


进一步测试,  还存在跨站攻击漏洞.
 楼主| daveyzhang 发表于 2010-9-3 14:01:41 | 显示全部楼层
在fgame.php 中,

大概在29行左右(具体行数看自己情况)
查找        $content = trim($_POST['content']);         //评论内容
修改为    $content = strip_tags(trim($_POST['content']));        //评论内容

38行
查找      'content' => trim($_POST['content']),
修改为   'content' => strip_tags(trim($_POST['content'])),

92行
查找         $fgid = (!empty($_GET['fgid']) && in_array($_GET['fgid'], $fgids)) ? $_GET['fgid'] : '0';
修改为      $fgid = (!empty($_GET['fgid']) && in_array($_GET['fgid'], $fgids)) ? intval($_GET['fgid']) : '0';


以上为简单应付对策, 还需进一步检测
回复

使用道具 举报

mxyes 发表于 2010-9-3 14:03:37 | 显示全部楼层
回复

使用道具 举报

mels 发表于 2010-9-5 21:29:46 | 显示全部楼层
回复

使用道具 举报

锦猫鼠 发表于 2010-9-5 22:40:22 | 显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-16 09:15 , Processed in 0.024218 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表