企业QQ:在线咨询400电话:132-7776-5424
企业QQ与400电话采用集中调度,多人值班,受理所有业务
业务相关,请咨询售前客服。为避免丢失消息,请尽量添加好友
售后问题处理,请咨询售后技术。为避免丢失消息,请尽量添加好友
站长:
132-7776-5424
站长:
132-7776-5424
站长:
132-7776-5424
查看: 222|回复: 1

论坛存在一个高危跨站漏洞

[复制链接]

3

主题

42

帖子

2134

积分

铂金会员

Rank: 5Rank: 5

威望
0
贡献
100
金币
1992
阅读权限
70
在线时间
12 小时
注册时间
2016-7-30
最后登录
2017-5-4
小白 发表于 2016-9-2 12:21:18 | 显示全部楼层 |阅读模式
本帖最后由 小白 于 2016-9-2 12:23 编辑

监测到论坛存在一个高危跨站漏洞,攻击者利用该漏洞可窃取论坛站点用户信息。
       由于该漏洞影响版本为全版本,且影响范围较大,风险等级较高,如果您采用了Discuz,我们强烈建议您对您的论坛进行安全加固

漏洞详情如下:
【风险概述】:导致论坛站点用户信息被窃取等风险;
【漏洞描述】Discuz的helper_mobile.php存在跨站漏洞,攻击者可利用该漏洞窃取论坛站点用户信息。
【影响版本】:全版本
【修复建议】
  修改文件:source/class/helper/helper_mobile.php
[sell=200]修改文件:source/class/helper/helper_mobile.php
找到以下两行:
$query_sting_tmp = str_replace(array('&mobile=yes','mobile=yes'), array(''), $_SERVER['QUERY_STRING']);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).($query_sting_tmp ?'?'.$query_sting_tmp.'&mobile=no' : '?mobile=no' );
替换为以下四行:
parse_str($_SERVER['QUERY_STRING'], $query);
$query['mobile'] = 'no';
$query_sting_tmp = http_build_query($query);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).$query_sting_tmp;
[/sell]

我们的论坛(Gm岛):Www.gmdao.cC
回复

使用道具 举报

2

主题

159

帖子

635

积分

青铜会员

Rank: 2

威望
0
贡献
10
金币
466
阅读权限
20
在线时间
61 小时
注册时间
2016-8-6
最后登录
2017-4-21
风和春丽 发表于 2016-9-2 13:54:00 | 显示全部楼层
原来如此啊,修复貌似!
我们的论坛(Gm岛):Www.gmdao.cC
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表