問(wèn)：
1.網(wǎng)站安全事件1.1武漢博宇教育咨詢(xún)有限公司(www.hbjjxyzk.com)網(wǎng)站漏洞網(wǎng)站篡改網(wǎng)站仿冒訪(fǎng)問(wèn)異常1000 1.1.1網(wǎng)站漏洞注：網(wǎng)站漏洞描述及解決方案詳見(jiàn)附錄1附錄1.網(wǎng)站漏洞描述及解決方案1漏洞名稱(chēng) 跨站腳本漏洞(CVE影響級(jí)別重大事件漏洞描述     5.7 SP2版本中的plus/qrcode.php頁(yè)面存在跨站腳本漏洞。遠(yuǎn)程攻擊者可借助‘type’參數(shù)利用該漏洞注入任意的Web腳本或HTML。 受影響的版本： – 5.7 SP2漏洞urlhttp://www.hbjjxyzk.com/plus/qrcode.php?id=0&type=aaa%22%3E%3Cscript%3Ealert(1)%3C%2fscript%3E驗(yàn)證截圖                                                                                   備案信息解決方案1.過(guò)濾用戶(hù)輸入的內(nèi)容，檢查用戶(hù)輸入的內(nèi)容中是否有非法內(nèi)容。如&lt;<（尖括號(hào)）、\”（引號(hào)）、 \’（單引號(hào)）、%（百分比符號(hào)）、;（分號(hào)）、()（括號(hào)）、&（& 符號(hào)）、 （加號(hào)）等。2.嚴(yán)格控制輸出可以利用下面這些函數(shù)對(duì)出現(xiàn)xss漏洞的參數(shù)進(jìn)行過(guò)濾1、htmlspecialchars()   函數(shù),用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本。2、htmlentities()   函數(shù),用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本。3、strip_tags()   函數(shù),過(guò)濾掉輸入、輸出里面的惡意標(biāo)簽。4、header() 函數(shù),使用header(\”Content-type:application/json\”); 用于控制 json 數(shù)據(jù)的頭部，不用于瀏覽。5、urlencode()   函數(shù),用于輸出處理字符型參數(shù)帶入頁(yè)面鏈接中。6、intval() 函數(shù)用于處理數(shù)值型參數(shù)輸出頁(yè)面中。7、自定義函數(shù),在大多情況下，要使用一些常用的 html 標(biāo)簽，以美化頁(yè)面顯示，如留言、小紙條。那么在這樣的情況下，要采用白名單的方法使用合法的標(biāo)簽顯示，過(guò)濾掉非法的字符。各語(yǔ)言示例：  PHP的htmlentities()或是htmlspecialchars()。     的cgi.escape()。     ASP的server=demo()。     ASP.NET的server=demo()或功能更強(qiáng)的 Anti-Cross Site   Library   Java的xssprotect(Open Library)。     Node.js的node-validator。3.聯(lián)系廠(chǎng)商進(jìn)行版本升級(jí)與漏洞修復(fù)  
,網(wǎng)站安全事件武漢博宇教育咨詢(xún)有限公司網(wǎng)站漏洞網(wǎng)站篡改網(wǎng)站仿冒訪(fǎng)

答：您好，您反饋的是程序漏洞（DedeCMS 跨站腳本漏洞），我司作為服務(wù)器提供商無(wú)法封堵程序漏洞，具體您可參考 https://www.cnblogs.com/wangtanzhi/p/.html 和  https://www.cnvd.org.cn/flaw/show/CNVD    ，需要聯(lián)系程序提供商進(jìn)行操作 ，或升級(jí)最新版程序；但我司提供了相關(guān)安全防護(hù)教程  http://ps-sw.cn/faq/search.asp?where=title&tp=2&keyword=dede 您可參考 進(jìn)行設(shè)置  ,非常感謝您長(zhǎng)期對(duì)我司的支持!

西部數(shù)碼（west.cn）是經(jīng)工信部、ICANN、CNNIC認(rèn)證審批，持有ISP、云牌照、IDC、CDN、頂級(jí)域名注冊(cè)商等全業(yè)務(wù)資質(zhì)的正規(guī)老牌服務(wù)商，自成立至今20余年專(zhuān)注于域名注冊(cè)、虛擬主機(jī)、云服務(wù)器、企業(yè)郵箱、企業(yè)建站等互聯(lián)網(wǎng)基礎(chǔ)服務(wù)！

截止目前，已經(jīng)為超過(guò)2000萬(wàn)個(gè)域名提供了注冊(cè)、解析等服務(wù)，是中國(guó)五星級(jí)域名注冊(cè)注冊(cè)商！已為超過(guò)50萬(wàn)個(gè)網(wǎng)站提供了高速穩(wěn)定的云托管服務(wù)，獲評(píng)中國(guó)最受用戶(hù)喜歡云主機(jī)服務(wù)商。

西部數(shù)碼提供全方位7X24H專(zhuān)業(yè)售后支撐，域名注冊(cè)特價(jià)1元起，高速穩(wěn)定云主機(jī)45元起，更多詳情請(qǐng)瀏覽西部數(shù)碼官網(wǎng)：http://ps-sw.cn/





猜你還會(huì)喜歡下面的內(nèi)容

• 網(wǎng)站為什么打開(kāi)正常，百度跳轉(zhuǎn)成非正規(guī)網(wǎng)站
• 你好，網(wǎng)站開(kāi)通一下MP4的流媒體播放功能
• MySQL 外網(wǎng)地址無(wú)法訪(fǎng)問(wèn)
• 登錄顯示不出來(lái)驗(yàn)證碼-虛擬主機(jī)/數(shù)據(jù)庫(kù)問(wèn)題
• 顯示連接數(shù)據(jù)庫(kù)失敗是什么原因
• dfcmotor168 的虛擬主機(jī)請(qǐng)刪除備案碼
• FTP賬號(hào)：里面的文件誤刪了還能恢復(fù)嗎
• 新開(kāi)的主機(jī)，怎么顯示空間已經(jīng)占滿(mǎn)了？
• 云數(shù)據(jù)庫(kù) 訪(fǎng)問(wèn)很慢-虛擬主機(jī)/數(shù)據(jù)庫(kù)問(wèn)題
• 無(wú)法正常php程序-虛擬主機(jī)/數(shù)據(jù)庫(kù)問(wèn)題
• mssql數(shù)據(jù)庫(kù)鏈接問(wèn)題
• gdztgc.com這個(gè)站是綁定哪個(gè)主機(jī)？
• 香港體驗(yàn)主機(jī)網(wǎng)站程序已經(jīng)上傳
• 怎么發(fā)短信說(shuō)沒(méi)有解析你們服務(wù)器是什么問(wèn)題。
• 上傳網(wǎng)站文件失敗-虛擬主機(jī)/數(shù)據(jù)庫(kù)問(wèn)題
• dghaifa服務(wù)器設(shè)置了index.html為首頁(yè)，還是打

熱門(mén)標(biāo)簽

其他問(wèn)題云服務(wù)器問(wèn)題域名及賬戶(hù)問(wèn)題企業(yè)郵局市場(chǎng)咨詢(xún)云服務(wù)器云建站/云站群/小程序虛擬主機(jī)網(wǎng)絡(luò)知識(shí)企業(yè)郵箱域名注冊(cè)域名備案域名商標(biāo)注冊(cè)云主機(jī)更多標(biāo)簽...

大家感興趣的內(nèi)容