起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 9049|回复: 11

[结贴] x5跨站攻击.JPG

[复制链接]

32

主题

139

帖子

1843

积分

金牌会员

Rank: 6Rank: 6

积分
1843
QQ
发表于 2014-5-5 12:09:30 | 显示全部楼层 |阅读模式
版本: 小版本号:
数据库: 服务器操作系统: 应用服务器:
客户端操作系统: 浏览器:
x5跨站攻击.JPG
云逸ERP(进销存+生产+维修)
网站 http://www.iune.cn
企业邮箱 erp@iune.cn
个人邮箱 lsp121043@126.com
电话 13120016007

45

主题

4492

帖子

3960

积分

论坛元老

Rank: 8Rank: 8

积分
3960
QQ
发表于 2014-5-5 12:17:33 | 显示全部楼层
嗯,关注一下。
向前进,向前进,我们……
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35913
发表于 2014-5-5 13:57:30 | 显示全部楼层
点开后面的查询详情看看
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

32

主题

139

帖子

1843

积分

金牌会员

Rank: 6Rank: 6

积分
1843
QQ
 楼主| 发表于 2014-5-5 14:02:55 | 显示全部楼层
jishuang 发表于 2014-5-5 13:57
点开后面的查询详情看看

详情如下:
x5跨站攻击-查看详情.JPG
详情完整描述:
  1. XSS
  2. 一.使用通用漏洞补丁修复

  3. http://bbs.aliyun.com/read.php?tid=137391
  4. 二.
  5. ASP
  6. 漏洞代码示例:
  7. <%
  8. Dim param
  9. Set param=Request.QueryString("dd")
  10. response.write param
  11. %>
  12. 修复范例:
  13. <%
  14. Dim param
  15. Set param=Request.QueryString("dd")
  16. response.write Server.HTMLEnCode(param)
  17. %>
  18. PHP
  19. 漏洞代码示例:
  20. <?php
  21. $aa=$_GET['dd'];
  22. echo $aa."123";
  23. ?>
  24. 修复范例:
  25. <?php
  26. $aa=$_GET['dd'];
  27. echo htmlspecialchars($aa)."123";
  28. ?>
复制代码
云逸ERP(进销存+生产+维修)
网站 http://www.iune.cn
企业邮箱 erp@iune.cn
个人邮箱 lsp121043@126.com
电话 13120016007
回复 支持 反对

使用道具 举报

32

主题

139

帖子

1843

积分

金牌会员

Rank: 6Rank: 6

积分
1843
QQ
 楼主| 发表于 2014-5-5 14:04:55 | 显示全部楼层
jishuang 发表于 2014-5-5 13:57
点开后面的查询详情看看

需要将经典门户的“功能地图”添加到新门户中
http://bbs.justep.com/thread-58804-1-1.html

这个谁帮忙给解决一下啊,谢谢啦。
云逸ERP(进销存+生产+维修)
网站 http://www.iune.cn
企业邮箱 erp@iune.cn
个人邮箱 lsp121043@126.com
电话 13120016007
回复 支持 反对

使用道具 举报

91

主题

13万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
35913
发表于 2014-5-5 14:55:10 | 显示全部楼层
lsp121043 发表于 2014-5-5 14:02
详情如下:

详情完整描述:



用的什么工具?内部测试,服务端就直接报错了
远程的联系方法QQ1392416607,添加好友时,需在备注里注明其论坛名字及ID,公司等信息
发远程时同时也发一下帖子地址,方便了解要解决的问题  WeX5教程  WeX5下载



如按照该方法解决,请及时跟帖,便于版主结贴
回复 支持 反对

使用道具 举报

31

主题

1856

帖子

3070

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3070
发表于 2014-5-6 09:52:23 | 显示全部楼层
按1楼和4楼说法,是language这个参数会导致漏洞,按图例是增加  ""><script> xxx </scrtip> 的方式注入导致受到攻击,但实际上如果这样写,服务端执行会报错,也就是不能正常的注入,这个不排除是工具误报。这个具体在和阿里云沟通
回复 支持 反对

使用道具 举报

24

主题

400

帖子

1749

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
1749
发表于 2014-5-7 10:11:37 | 显示全部楼层
把这个文件更新到UIServer目录下

error.rar

1016 Bytes, 下载次数: 575

回复 支持 反对

使用道具 举报

12

主题

2627

帖子

2866

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2866
发表于 2014-5-7 10:18:00 | 显示全部楼层
后续补丁解决这个问题, 当前版本上, 可以附件中的error.jsp更新到%JUSTEP_HOME%\runtime\UIServer目录下即可

error.jsp

1.95 KB, 下载次数: 316

回复 支持 反对

使用道具 举报

12

主题

62

帖子

1405

积分

金牌会员

Rank: 6Rank: 6

积分
1405
发表于 2014-5-7 11:33:38 | 显示全部楼层
还是建议在发布新版本时把tomcat版本更换为最新(目前是6.0.39),修复tomcat本身的已知安全漏洞
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2024-4-21 12:33 , Processed in 0.078868 second(s), 28 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表