3.1 企业版重大漏洞 SQL注入和XSS跨站攻击
SQL注入可能导致如下一些后果:1.机密数据被窃取
2.核心业务数据被篡改
3.网页被篡改
4.数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵
描述:SQL注射是由于程序中对使用到的sql没有做到数据和结构分离导致程序的sql能被恶意用户控制,从而引发的数据库信息泄漏,修改,服务器被入侵等一系列严重后果
修复建议:对程序中使用到的SQL语句,使用变量绑定的方式进行数据和结构的分离
可以注入地址zph/info.php?id=1
招聘会信息ID未过滤
解决方法:修改info.php第19行 $rs = $db->get_one("SELECT * FROM `".$cfg['tb_pre']."zph` WHERE `z_id`=$id LIMIT 0,1");
具体修复细节等官方公布
XSS跨站攻击
可能导致如下一些后果:1、网站用户账户被盗;
2、页面被篡改描述:跨站漏洞,有可能带来用户被盗,页面被篡改一系列恶性事件
修复建议:在变量输出时进行HTML ENCODE 处理
/more/commondresume.php?profession= profession参数未过滤
search/hire_searchresult.php?order= order参数未过滤
/more/newhire.phptrade、datetime、keyword参数未过滤
more/newhire.phpl参数未过滤
hack by supper800 收到,感谢楼主提供安全反馈。 为防止给用户站点造成影响,楼主帖子暂时屏蔽,我们将立即解决安全问题,随后将发布安全补丁。 该安全问题官方已修复,补丁文件已提供下载
商业版补丁下载地址http://bbs.rccms.com/read-htm-tid-31821.html
免费版补丁下载地址http://bbs.rccms.com/read-htm-tid-31822.html 该安全问题官方已修复,补丁文件已提供下载
商业版补丁下载地址http://bbs.rccms.com/read-htm-tid-31821.html
免费版补丁下载地址http://bbs.rccms.com/read-htm-tid-31822.html
页:
[1]