本文目录一览:
- 1、phpwind9.x和8.7XSS注入以及管理后台脚本注入漏洞
- 2、PHP UEditor富文本编辑器 上传显示 后端配置项没有正常加载,上传插件不能正常使用!
- 3、如何在php中修补XSS漏洞
- 4、用了富文本,怎么避免xss攻击
- 5、百度富文本编辑器 通过表单提交数据!php中获取不到富文本编辑器中的内容!求大神指教!.
phpwind9.x和8.7XSS注入以及管理后台脚本注入漏洞
漏洞描述:
phpwind近期公布了2处安全漏洞,分别是富文本编辑器发帖的xss注入(受影响版本8.7、9.X)以及管理后台添加新用户时的脚本注入(受影响版本8.7)。
影响版本:
phpwind 9.x以及8.7,8.7.1
漏洞等级:
高危
修复建议:
1、安装官方最新补丁,官方补丁:
2、添加网站至云观测,及时了解网站组件突发/0day漏洞。
PHP UEditor富文本编辑器 上传显示 后端配置项没有正常加载,上传插件不能正常使用!
1、首先找到eWebEditor编辑器所在的目录,然后搜索到editor.js文件,由于eWebEditor有很多个版本,所以editor.js文件所在的目录也有所不同,有的可能在Include目录下,有的可能在js目录下。
2、用记事本打开editor.js文件,找到如下代码: if (element.YUSERONCLICK) {
eval(element.YUSERONCLICK + "anonymous()");
}
由于eWebEditor编辑器版本不同,有的可能找不到上面的代码,而是下面这样的代码,两种代码只是书写格式不同而已,含义是一样的:
if (element.YUSERONCLICK) eval(element.YUSERONCLICK + "anonymous()");
3、将上面的代码替换为下面的代码即可:
或者改变路径上传。只要能找到它的保存路径就可以了!!然后将保存的路径以及文件名赋值给你的变量!
如何在php中修补XSS漏洞
你好,如果要修补xss漏洞,通用的一个做法是使用htmlspecialchars()函数。
使用该函数大概可以预防90%左右的xss左右的攻击,避免你的PHP程序受到攻击。
用了富文本,怎么避免xss攻击
后台过滤就可以了。例如script ,input 标签直接replace掉 ,onclick. onxxx 之类也replace掉。只允许图文的html标记和样式存在。
百度富文本编辑器 通过表单提交数据!php中获取不到富文本编辑器中的内容!求大神指教!.
注意在script里面加name属性,后台对应
post获得的。
希望我的回答可以帮到你,有什么不懂可以追问。