DownPlus 安全補丁 2008-12-12 附修改方法

2019-11-02 17:04:11

字體：大中小

來源：轉載

供稿：網友

*可能造成的危害:

因為query.asp的此漏洞不涉及到數據,故不會對數據造成危害,但惡意用戶可能會構造一個特殊URL,并誘導其他用戶(比如站點的管理

員)去訪問這個URL,從而獲得該用戶的敏感信息(如Cookies),或是將用戶跳轉到含有木馬的頁面,使這個用戶中木馬.請不要隨意訪問

來歷不明或含有特殊字符的URL.

補丁適合版本: DownPlus 2.2 ACCESS/MSSQL

點此下載補丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2846&view=findpost&p=10084

* 定制版本請不要使用這個補丁,定制版本的補丁會另外通過郵件發送,如在24小時內未收到,請聯系QQ16958797

過期用戶或2.1及之前的版本請手動修復:

* 首先用記事本或EDITPLUS等文本編輯軟件打開query.asp文件

第一步:搜索

Request.QueryString("t")

替換為

left(trim(Request.QueryString("t")),1)

說明:1.9之后的版本共有2處,1.9之前版本只有一處,請使用文本編輯器的替換功能,手動修改的話請注意不要改錯,比如找到的代碼是

m_QueryType = lcase(Request.QueryString("t"))

那么替換后應該是

m_QueryType = lcase(left(trim(Request.QueryString("t")),1))

第二步:搜索

Request.QueryString("class")

找到這段代碼的所在行,然后在這行下面添加下面的代碼

If sClassID<>"" And IsNumeric(sClassID) Then

sClassID = Clng(sClassID)

Else

sClassID = ""

End If

如,找到代碼的這行為 sClassID = Trim(Request.QueryString("class"))

那么修改后就應該是:

sClassID = Trim(Request.QueryString("class"))

If sClassID<>"" And IsNumeric(sClassID) Then

sClassID = Clng(sClassID)

Else

sClassID = ""

End If

說明:1.8及之前的版本沒有這段代碼,無需修改

===========================================================================================

* 什么是跨站腳本漏洞?

所謂跨站腳本漏洞其實就是Html的注入問題，惡意用戶的輸入沒有經過嚴格的控制的參數，最終顯示給來訪的用戶，導致可以在來訪

用戶的瀏覽器里以瀏覽用戶的身份執行HTml代碼

上一篇：DEDE隔行變色以及分組加線修改方法

下一篇：Dedecms 后臺驗證碼錯誤的解決方法

學習交流

索泰發布一款GTX 1070 Mini迷你版本:小機

索泰發布一款GTX 1070 Mini迷你版本:小機箱大愛...

熱門圖片

猜你喜歡的新聞

猜你喜歡的關注

国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

DownPlus 安全補丁 2008-12-12 附修改方法