您现在的位置是:网站首页> 编程资料编程资料
DownPlus 安全补丁 2008-12-12 附修改方法_其它CMS_
2023-05-27
344人已围观
简介 DownPlus 安全补丁 2008-12-12 附修改方法_其它CMS_
*可能造成的危害:
因为query.asp的此漏洞不涉及到数据,故不会对数据造成危害,但恶意用户可能会构造一个特殊URL,并诱导其他用户(比如站点的管理
员)去访问这个URL,从而获得该用户的敏感信息(如Cookies),或是将用户跳转到含有木马的页面,使这个用户中木马.请不要随意访问
来历不明或含有特殊字符的URL.
补丁适合版本: DownPlus 2.2 ACCESS/MSSQL
点此下载补丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2846&view=findpost&p=10084
* 定制版本请不要使用这个补丁,定制版本的补丁会另外通过邮件发送,如在24小时内未收到,请联系QQ16958797
过期用户或2.1及之前的版本请手动修复:
* 首先用记事本或EDITPLUS等文本编辑软件打开query.asp文件
第一步:搜索
Request.QueryString("t")
替换为
left(trim(Request.QueryString("t")),1)
说明:1.9之后的版本共有2处,1.9之前版本只有一处,请使用文本编辑器的替换功能,手动修改的话请注意不要改错,比如找到的代码是
m_QueryType = lcase(Request.QueryString("t"))
那么替换后应该是
m_QueryType = lcase(left(trim(Request.QueryString("t")),1))
第二步:搜索
Request.QueryString("class")
找到这段代码的所在行,然后在这行下面添加下面的代码
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If
如,找到代码的这行为 sClassID = Trim(Request.QueryString("class"))
那么修改后就应该是:
sClassID = Trim(Request.QueryString("class"))
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If
说明:1.8及之前的版本没有这段代码,无需修改
===========================================================================================
* 什么是跨站脚本漏洞?
所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制的参数,最终显示给来访的用户,导致可以在来访
用户的浏览器里以浏览用户的身份执行HTml代码
因为query.asp的此漏洞不涉及到数据,故不会对数据造成危害,但恶意用户可能会构造一个特殊URL,并诱导其他用户(比如站点的管理
员)去访问这个URL,从而获得该用户的敏感信息(如Cookies),或是将用户跳转到含有木马的页面,使这个用户中木马.请不要随意访问
来历不明或含有特殊字符的URL.
补丁适合版本: DownPlus 2.2 ACCESS/MSSQL
点此下载补丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2846&view=findpost&p=10084
* 定制版本请不要使用这个补丁,定制版本的补丁会另外通过邮件发送,如在24小时内未收到,请联系QQ16958797
过期用户或2.1及之前的版本请手动修复:
* 首先用记事本或EDITPLUS等文本编辑软件打开query.asp文件
第一步:搜索
Request.QueryString("t")
替换为
left(trim(Request.QueryString("t")),1)
说明:1.9之后的版本共有2处,1.9之前版本只有一处,请使用文本编辑器的替换功能,手动修改的话请注意不要改错,比如找到的代码是
m_QueryType = lcase(Request.QueryString("t"))
那么替换后应该是
m_QueryType = lcase(left(trim(Request.QueryString("t")),1))
第二步:搜索
Request.QueryString("class")
找到这段代码的所在行,然后在这行下面添加下面的代码
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If
如,找到代码的这行为 sClassID = Trim(Request.QueryString("class"))
那么修改后就应该是:
sClassID = Trim(Request.QueryString("class"))
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If
说明:1.8及之前的版本没有这段代码,无需修改
===========================================================================================
* 什么是跨站脚本漏洞?
所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制的参数,最终显示给来访的用户,导致可以在来访
用户的浏览器里以浏览用户的身份执行HTml代码
相关内容
- 十二个常见的PHP+MySql类免费CMS系统_其它CMS_
- DEDE添加迅雷专用链接(半迅雷化)_dedecms_
- DEDE隔行变色以及分组加线修改方法_dedecms_
- 解决dotproject中文名文件下载乱码问题的解决方法_其它CMS_
- 解决dotproject的两个小bug的方法_其它CMS_
- dedecms tags keywords问题修正方法_dedecms_
- DEDECMS实用漂亮的翻页效果修改方法第1/3页_dedecms_
- DEDECMS TAG伪静态 IIS_rewrite配置方法附rewrite下载_dedecms_
- dedecms负载性能优化实例,三招让你的dedecms快10倍以上第1/2页_dedecms_
- DEDE 24小时内发布的信息日期为红色_dedecms_
