快捷導(dǎo)航

DownPlus 安全補(bǔ)丁 2008-12-12 附修改方法

更新時(shí)間：2008年12月15日 18:15:51 作者：

DownPlus 安全補(bǔ)丁 2008-12-12 修正內(nèi)容: 修正query.asp的跨站腳本漏洞.

*可能造成的危害:
因?yàn)閝uery.asp的此漏洞不涉及到數(shù)據(jù),故不會(huì)對(duì)數(shù)據(jù)造成危害,但惡意用戶可能會(huì)構(gòu)造一個(gè)特殊URL,并誘導(dǎo)其他用戶(比如站點(diǎn)的管理
員)去訪問(wèn)這個(gè)URL,從而獲得該用戶的敏感信息(如Cookies),或是將用戶跳轉(zhuǎn)到含有木馬的頁(yè)面,使這個(gè)用戶中木馬.請(qǐng)不要隨意訪問(wèn)
來(lái)歷不明或含有特殊字符的URL.

補(bǔ)丁適合版本: DownPlus 2.2 ACCESS/MSSQL

點(diǎn)此下載補(bǔ)丁:http://bbs.DownPlus.com/index.php?s=&showtopic=2846&view=findpost&p=10084

* 定制版本請(qǐng)不要使用這個(gè)補(bǔ)丁,定制版本的補(bǔ)丁會(huì)另外通過(guò)郵件發(fā)送,如在24小時(shí)內(nèi)未收到,請(qǐng)聯(lián)系QQ16958797

過(guò)期用戶或2.1及之前的版本請(qǐng)手動(dòng)修復(fù):

* 首先用記事本或EDITPLUS等文本編輯軟件打開(kāi)query.asp文件

第一步:搜索
Request.QueryString("t")
替換為
left(trim(Request.QueryString("t")),1)

說(shuō)明:1.9之后的版本共有2處,1.9之前版本只有一處,請(qǐng)使用文本編輯器的替換功能,手動(dòng)修改的話請(qǐng)注意不要改錯(cuò),比如找到的代碼是
m_QueryType = lcase(Request.QueryString("t"))
那么替換后應(yīng)該是
m_QueryType = lcase(left(trim(Request.QueryString("t")),1))

第二步:搜索
Request.QueryString("class")
找到這段代碼的所在行,然后在這行下面添加下面的代碼

If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If

如,找到代碼的這行為 sClassID = Trim(Request.QueryString("class"))

那么修改后就應(yīng)該是:
sClassID = Trim(Request.QueryString("class"))
If sClassID<>"" And IsNumeric(sClassID) Then
sClassID = Clng(sClassID)
Else
sClassID = ""
End If

說(shuō)明:1.8及之前的版本沒(méi)有這段代碼,無(wú)需修改

===========================================================================================
* 什么是跨站腳本漏洞?

所謂跨站腳本漏洞其實(shí)就是Html的注入問(wèn)題，惡意用戶的輸入沒(méi)有經(jīng)過(guò)嚴(yán)格的控制的參數(shù)，最終顯示給來(lái)訪的用戶，導(dǎo)致可以在來(lái)訪
用戶的瀏覽器里以瀏覽用戶的身份執(zhí)行HTml代碼

相關(guān)文章

如何安全修改隱藏Zblogphp默認(rèn)后臺(tái)登錄地址
目前ZBlogPHP站點(diǎn)后臺(tái)的登錄地址默認(rèn)都是/zb_system/login.php或/zb_system/cmd.php?act=admin，從源代碼里很容易看出使用了ZBlogPHP系統(tǒng)，容易被別有用心的人暴力破解。對(duì)于這種情況，最好的辦法就是修改/隱藏我們的后臺(tái)登錄地址。
2023-04-04
解決dotproject的兩個(gè)小bug的方法
繼續(xù)深入使用dotproject，發(fā)現(xiàn)兩個(gè)小bug，國(guó)內(nèi)的論壇這些問(wèn)題是找不到了，只有到dotproject官方論壇去找找，問(wèn)題終獲解決。
2008-11-11
wordpress?12個(gè)數(shù)據(jù)表結(jié)構(gòu)和字段說(shuō)明
WordPress安裝的時(shí)候數(shù)據(jù)庫(kù)會(huì)有12個(gè)默認(rèn)的數(shù)據(jù)表，每張表的數(shù)據(jù)都包含了?WordPress?不同的功能?？纯催@些表的結(jié)構(gòu)，你能很容易的了解網(wǎng)站不同的部分都是存在哪里的。這篇文章主要介紹了wordpress?12個(gè)數(shù)據(jù)表結(jié)構(gòu)和字段說(shuō)明,需要的朋友可以參考下
2023-04-04
帝國(guó)cms所有的數(shù)據(jù)庫(kù)表結(jié)構(gòu)和字段說(shuō)明
帝國(guó)CMS也是比較有名氣的，基本上沒(méi)有出現(xiàn)安全問(wèn)題。但是帝國(guó)CMS后臺(tái)的邏輯和布局，感覺(jué)太復(fù)雜。如果我們需要會(huì)員或者下載等交互功能，這一點(diǎn)的擴(kuò)展上帝國(guó)是有優(yōu)勢(shì)的。這篇文章主要介紹了帝國(guó)cms所有的數(shù)據(jù)庫(kù)表結(jié)構(gòu)和字段說(shuō)明,需要的朋友可以參考下。
2023-04-04
Fastadmin中JS的調(diào)用方法原理講解
FastAdmin的前端部分使用或涉及到主要是RequireJS,jQuery,AdminLTE,Bower,Less,CSS。其中RequireJS主要是用于JS的模塊化加載。
2022-12-12
fastadmin使用學(xué)習(xí)中的常見(jiàn)問(wèn)題匯總
fastadmin是thinkPHP開(kāi)發(fā)框架整合了很多插件和技術(shù)，后臺(tái)的前端頁(yè)面使用Bootstrap，還有RequireJs?？偟膩?lái)說(shuō)，需要開(kāi)發(fā)者前后端全棧技術(shù)程度較高，當(dāng)然也要看使用學(xué)習(xí)時(shí)間長(zhǎng)短，畢竟熟能生巧。這篇文章主要介紹了fastadmin使用學(xué)習(xí)中的常見(jiàn)問(wèn)題匯總
2022-12-12
fastAdmin表單驗(yàn)證validate的錯(cuò)誤提示信息，如何改變位置？
fastAdmin表單驗(yàn)證validate的錯(cuò)誤提示,默認(rèn)是在右側(cè)的n-right,如果放在右側(cè)不太好看,想調(diào)整到其他位置,該怎么操作呢？
2023-08-08
十二個(gè)常見(jiàn)的PHP+MySql類免費(fèi)CMS系統(tǒng)
整理的12個(gè)，網(wǎng)上比較流行的cms建站程序
2008-12-12
zblogphp使用GetArticleList、GetList函數(shù)調(diào)用熱門(mén)文章列表
ZBLOG?PHP文章的時(shí)候會(huì)用到最新文章、點(diǎn)擊數(shù)、評(píng)論數(shù)文章調(diào)用，在Zblog?php?1.7版本以前使用GetArticleList函數(shù)，但之后，GetList函數(shù)增加where_custom、order_custom等多個(gè)重要參數(shù)，從而可以輕易地調(diào)用熱門(mén)文章、熱評(píng)文章或隨機(jī)文章等列表了。
2022-12-12
S-CMS企建v3二次SQL注入的方法
這篇文章主要介紹了S-CMS企建v3二次SQL注入的方法，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2019-02-02