创联下属网站:创联数据 | 创联建站 | 广西服务器网
客服热线:400-6800-660 (免长话费)    企业QQ咨询:400 6800 660
创联数据,服务器托管租用,虚拟主机租用及域名注册

签约及项目动态

当前位置:首页 > 互联网研究 > CMS应用 >

2014-09-29 23:00:34 来源:

很久没在这里分享CMS的一些使用技巧,今天继续探讨Phpcms v9,说到Phpcms V9 api漏洞的问题,是源自问答社区的问题:为什么360总是提示Phpcms v9有api漏洞?今天在这里与大家探讨Phpcms V9安全检测api漏洞修改方法。

先说说360:

最近发现很多分析网站SEO状况的网站慢慢增加了360收录情况,这说明慢慢大家在接受360在搜索方面的份额,不得不说360浏览器的分量增大了,不少客户在使用360的时候反馈Phpcms V9的后台在部分360浏览器下不能上传附件的问题(Phpcms v9上传图片提示undefined错误),也印证了这一点。

下面来看看在360下查询网站收录,会在顶部显示网站的安全性:

\

试想:如果在这里显示的得分很少、显示很多漏洞,会怎么样?

于是这一评分,触动大家去检测网站的安全性,于是很多使用Phpcms v9的朋友有这样的困惑:

我都已经升级了,怎么还有漏洞?评分还是55?还是显示api漏洞?都已经参考【PHPCMS api.php 跨站脚本攻击漏洞】上的说明,打上了补丁,并且修改了api/map.php文件,怎么安全检测还是存在api漏洞?

其实,360安全社区发现了漏洞,只是提供了一个解决问题的方法,并非全部。引用CMS问题社区的回复:

一方面需要修改api/map.php文件:

请打上官方最新补丁:http://bbs.phpcms.cn/thread-854157-1-1.html,另外官方补丁不完整,还需修改下面一处:

找到api/map.php,将270行

echo $city;

改成:

echo htmlspecialchars($city);

另一方面需要修改api/video_api.php:

文件api/video_api.php在第10行$pc_hash = $_GET[pc_hash];下面加上$pc_hash = $_GET[_htmlspecialchars];就好了。

这样才解决好问题。

相关热词延伸阅读:安全检测 漏洞 方法

创联数据——专注于网站建设、网站策划、重塑企业网站价值,南宁网站建设及网站策划第一品牌!

公司名称:南宁桂商信息科技有限公司 增值电信业务经营许可证(ISP证)编号:桂B2-20140002
公司地址:广西南宁五象大道16号景皇国际2719室 咨询热线:400-6800-660、0771-3846226、5607810

关于我们  |  联系我们  |  公司动态  |  在线客服  |  官方微博
Copyright © www. clidc.cn 2005-2013 All Rights Reserved