Wap跨站脚本问题的补丁方案
威胁程度评级:中
经查证,Discuz!4.0 系列版本中存在一个潜在的安全隐患,此隐患并不会对您的数据产生威胁,但可以用来恶作剧及影响正常的浏览。请您按照以下方法对您的版本进行补丁。
下载本帖中的附件,解压后上传到论坛中,覆盖原
wap目录即可,注意不是根目录。
本修正,各种语言版本均通用。
4.0.0及之前版本补丁地址: http://download.discuz.net/patch/20060503_40.zip
4.1.0 补丁地址: http://download.discuz.net/patch/20060503_41.zip
--------------------------------------------
附录:如果你的网站已经被人植入恶意代码,可以通过下面的方法清除
此问题只有开启了wap功能的论坛才可能会出现,如果您没开通wap功能,则不需要更新数据库,而直接更新补丁即可。
如果您开通了wap功能,那么请登陆后台-〉数据库管理,然后输入如下语句。
复制内容到剪贴板
代码:
UPDATE cdb_threads
SET subject = REPLACE(subject,'<','') WHERE subject LIKE '%<%';
update cdb_posts
SET subject = REPLACE(subject,'<','') WHERE subject LIKE '%<%';当然,您可以先查询一下您的数据库中是否有这样的数据。并且可以看到是谁,在什么时候发了这样的帖子。代码如下:
复制内容到剪贴板
代码:
SELECT * FROM cdb_threads WHERE subject LIKE '%<%';
SELECT * FROM cdb_posts WHERE subject LIKE '%<%';如果有这样的记录才进行上述升级。
--------------------------------------------
