漏洞类型:跨站脚本攻击（XSS）8kS网站目录_网站网址收录与提交入口

所属建站程序:帝国cms8kS网站目录_网站网址收录与提交入口

所属服务器类型:通用8kS网站目录_网站网址收录与提交入口

所属编程语言:PHP8kS网站目录_网站网址收录与提交入口

描述:帝国cms编辑器中存在xss跨站，$InstanceName参数外部获取直接输出.8kS网站目录_网站网址收录与提交入口

危害:8kS网站目录_网站网址收录与提交入口

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录，更甚至可以修改网页呈现给其他用户的内容8kS网站目录_网站网址收录与提交入口

2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击，从而来达到获取其他的用户信息目的.8kS网站目录_网站网址收录与提交入口

解决方案:8kS网站目录_网站网址收录与提交入口

修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中8kS网站目录_网站网址收录与提交入口

TranFile.php8kS网站目录_网站网址收录与提交入口

TranFlash.php8kS网站目录_网站网址收录与提交入口

TranImg.php8kS网站目录_网站网址收录与提交入口

TranMedia.php8kS网站目录_网站网址收录与提交入口

这个四个文件8kS网站目录_网站网址收录与提交入口

$InstanceName=$_GET['InstanceName'];//开源软件:phpfensi.com8kS网站目录_网站网址收录与提交入口

改为:8kS网站目录_网站网址收录与提交入口

$InstanceName=htmlspecialchars($_GET['InstanceName']);8kS网站目录_网站网址收录与提交入口

 8kS网站目录_网站网址收录与提交入口

此文由 网站目录_网站网址收录与提交入口 编辑，未经允许不得转载！：