医院网站建设

当前位置: > 医院网站维护 >

上线没几天,网站就中招,这个漏洞隐藏在织梦cms登录框中

发布时间:2019-01-12 作者:医院网站制作 浏览: 关键词: 医院网站被黑

不知道你没有遇到过这样的情况,网站刚刚上线几天,网站风格大变,变成了红的,蓝的,非常吸引人眼球的内容,频繁还有美女跳出。

你被老板请到办公室喝了杯茶。

你知道,自己的工作能力受到了质疑。

遇到问题马上百度,寒冬腊月仍然急得满头大汗,你在解决问题的时候,老板就站在你的椅子后面看着。

老板发话了,今天解决不完,明天就不用来上班了。

你解决问题的时候,从百度搜索自己的关键词“网站被黑怎么办”,“网站被挂木马怎么解决”。

你连续翻页了50页,把能点开的链接都点开看了,自己也尝试着设置了一些目录权限,修改了一些已知的漏洞,还把织梦cms系统升级到了官方发布的最新版本。

可是做完这些修改之后问题依旧,首页重新生成了之后,过不了一会以又被重新覆盖回来。

首页中的美女依旧欢呼雀跃,时不时的还发出声音,像是对你提出了又一波的挑衅。

虽然你网站的用户名密码,mysql的用户名密码已经足够复杂,可是仍然没有用处。

你猜测可能是有一个XSS漏洞,于是你开始了代码审核。

你发现织梦cms的RemoveXSS函数存在缺陷,可以被绕过。

这个漏洞存在于登录界面中。

修改方法

  1. 你可以直接删除上面标色框的内容

  2. 修改RemoveXSS函数

打开include/helper/filter.helper.php

搜索

$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);

在其上面添加

$val = htmlspecialchars($val);

保存上传就可以了。

如果你的服务器上安装的是php5.4以下版本则没有htmlspecialchars函数,需要使用织梦的自定义函数dede_htmlspecialchars来替换。

这里给您推荐一篇我之前写的文章,或许对您解决问题有所帮助,两篇文章建议您一起读完,如果有什么问题欢迎和我一起交流,纰漏之处,敬请指正。

医院网站防黑运维经验分享,小白也能轻松应对

责任编辑:医院网站制作
医院网站维护