很多开源程序由于缺乏定期的维护和升级,这样经过一段时间的使用逐渐的一些网站漏洞就暴露出来了,进而一些搞破坏的站长就开始利用这些漏洞对网站植入木马,黑链,或者爆破网站的后台等一系列的操作。那么该如何预防呢?其实每款开源程序都有自己的修复方法,比如给文件夹设置为只可以读不可以写的权限了,或者找到网站的漏洞进行修复了,或者定期的打补丁等等。由于最近很多站长朋友在php免备案空间玩ecshop这款开源程序也总是被挂马,挂黑链,小编为了找到这个问题的原因也是一直在研究ecshop的漏洞所在,经过这些天的研究,小编发现Ecshop这款开源程序主要有三个XSS的脚本漏洞,分别是 pages.lbi.php Xss漏洞,search.php注入漏洞,Ecshop version XSS漏洞,那么既然已经找到了漏洞所在该如何对其进行修复呢?下面小编来详细介绍下处理方法吧。
第一种:Ecshop pages.lbi.php Xss漏洞
首先按照路径找到temp/compiled/pages.lbi.php并使用高级编辑器打开在第二行插入以下代码:
第二种:search.php注入漏洞,直接找到根目录下的search.php使用高级编辑器打开找到大概在300行代码:
if (is_not_null($val) )
修改为
if (is_not_null($val) && is_numeric($key))
第三种:Ecshop version XSS漏洞
按照目录的路径找到/admin/receive.php文件,打开找到以下代码:
$version=$_GET[‘version’];
修改为:
$version=htmlspecialchars($_GET[‘version’]);
以上就是针对三种XSS脚本漏洞的修复方法了。只要漏洞修复好了之后可以大大降低网站被注入木马和黑链的风险,毕竟做网站安全都是要放在第一位的哦。感谢站长朋友们的支持,如果有疑问的可以联系小编QQ:4006377220.
