摘要
一位博友发了篇《XSS一键getshell》,我紧张了起来…原来是因为emlog存在存储性XSS漏洞,但是我们很快就找到了解决方法,让我感到非常欣慰!
正文
【摘要】今天群里有位博友发了一篇《XSS一键getshell》,当时就感觉有点紧张…后面交谈是因为投稿功能存在存储性XSS,因为Emlog自带编辑器的low~b所以简单修改一下,关闭EMLOG默认的会员中心!这个方法虽然非常简单,但是非常有效!…
今天群里有位博友发了一篇《XSS一键getshell》,当时就感觉有点紧张…
后面交谈是因为投稿功能存在存储性XSS,因为emlog自带编辑器的low~b
所以简单修改一下,关闭EMLOG默认的会员中心!
这个方法虽然非常简单,但是非常有效!
看操作:
第一步:找到admin/views/header.php文件,使用notepad++打开如图
第二步:如图添加如下代码,保存上传替换即可!
if (ROLE != ROLE_ADMIN){header(“Location: ../?user&posts”);exit;}
此方法针对EMLOG琉璃主题,其他带有开放会员注册功能的模版,可使用如下代码:
if (ROLE != ROLE_ADMIN){header(“Location: ../”);exit;}
这样就直接关闭了后台的会员中心,除了管理员能够正常进入以外,其他任何访客都会自动跳转到琉璃主题6.3的会员中心或首页!
后续小东会更新更多的安全防护文章,一起让我们的网站更加安全!
关注不迷路
扫码下方二维码,关注宇凡盒子公众号,免费获取最新技术内幕!
温馨提示:如果您访问和下载本站资源,表示您已同意只将下载文件用于研究、学习而非其他用途。
评论0