x5跨站攻击.JPG

lsp121043

fpj

嗯，关注一下。

jishuang

点开后面的查询详情看看

lsp121043

jishuang 发表于 2014-5-5 13:57
点开后面的查询详情看看

详情如下：

详情完整描述：

1. XSS
   
2. 一.使用通用漏洞补丁修复
   
3. 
   
4. http://bbs.aliyun.com/read.php?tid=137391
   
5. 二.
   
6. ASP
   
7. 漏洞代码示例：
   
8. <%
   
9. Dim param
   
10. Set param=Request.QueryString("dd")
    
11. response.write param
    
12. %>
    
13. 修复范例：
    
14. <%
    
15. Dim param
    
16. Set param=Request.QueryString("dd")
    
17. response.write Server.HTMLEnCode(param)
    
18. %>
    
19. PHP
    
20. 漏洞代码示例：
    
21. <?php
    
22. $aa=$_GET['dd'];
    
23. echo $aa."123";
    
24. ?>
    
25. 修复范例：
    
26. <?php
    
27. $aa=$_GET['dd'];
    
28. echo htmlspecialchars($aa)."123";
    
29. ?>

复制代码

lsp121043

jishuang 发表于 2014-5-5 13:57
点开后面的查询详情看看

需要将经典门户的“功能地图”添加到新门户中
http://bbs.justep.com/thread-58804-1-1.html

这个谁帮忙给解决一下啊，谢谢啦。

jishuang

lsp121043 发表于 2014-5-5 14:02
详情如下：

详情完整描述：

用的什么工具？内部测试，服务端就直接报错了

wsh

按1楼和4楼说法，是language这个参数会导致漏洞，按图例是增加  ""><script> xxx </scrtip> 的方式注入导致受到攻击，但实际上如果这样写，服务端执行会报错，也就是不能正常的注入，这个不排除是工具误报。这个具体在和阿里云沟通

wangyutao

把这个文件更新到UIServer目录下

hecr

后续补丁解决这个问题， 当前版本上， 可以附件中的error.jsp更新到%JUSTEP_HOME%\runtime\UIServer目录下即可

joyes

还是建议在发布新版本时把tomcat版本更换为最新（目前是6.0.39），修复tomcat本身的已知安全漏洞