娜迦源码博客

解决phpcms v9安全检测api漏洞修改方法

很久没在这里分享CMS的一些使用技巧,今天继续探讨Phpcms v9,说到Phpcms V9 api漏洞的问题,是源自问答社区的问题:为什么360总是提示Phpcms v9有api漏洞?今天在这里与大家探讨Phpcms V9安全检测api漏洞修改方法。 
先说说360: 
最近发现很多分析网站SEO状况的网站慢慢增加了360收录情况,这说明慢慢大家在接受360在搜索方面的份额,不得不说360浏览器的分量增大了,不少客户在使用360的时候反馈Phpcms V9的后台在部分360浏览器下不能上传附件的问题(Phpcms v9上传图片提示undefined错误),也印证了这一点。 
下面来看看在360下查询网站收录,会在顶部显示网站的安全性: 

试想:如果在这里显示的得分很少、显示很多漏洞,会怎么样? 
于是这一评分,触动大家去检测网站的安全性,于是很多使用Phpcms v9的朋友有这样的困惑: 
我都已经升级了,怎么还有漏洞?评分还是55?还是显示api漏洞?都已经参考【PHPCMS api.php 跨站脚本攻击漏洞】上的说明,打上了补丁,并且修改了api/map.php文件,怎么安全检测还是存在api漏洞? 
其实,360安全社区发现了漏洞,只是提供了一个解决问题的方法,并非全部。引用CMS问题社区的回复: 
一方面需要修改api/map.php文件: 
请打上官方最新补丁: http://bbs.phpcms.cn/thread-854157-1-1.html,另外官方补丁不完整,还需修改下面一处: 
找到api/map.php,将270行 
echo $city; 
改成: 
echo htmlspecialchars($city); 
另一方面需要修改api/video_api.php: 
文件api/video_api.php在第10行$pc_hash = $_GET[pc_hash];下面加上$pc_hash = $_GET[_htmlspecialchars];就好了。 
这样才解决好问题。


本文链接:https://www.wsx6.cn/post/908.html

版权声明:

1:如非特殊说明,本站对提供的源码不拥有任何权利,其版权归原著者拥有。

2:请勿将该源码、软件进行商业交易、转载等行为,该源码、软件只为研究、学习所提供,该软件使用后发生的一切问题与本站无关。

3:本网站所有源码和软件均为作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信(邮箱:393249296@qq.com)指出,本站将立即改正。

联系客服
网站客服 Q交流群
673529708
返回顶部
请先 登录 再评论,若不是会员请先 注册