阿里云云盾提示有 144 个跨站攻击漏洞

2014-10-08 10:05:43 +08:00

GASALA

手头的一小网站，最近登录阿里云后台提示有144个跨站攻击漏洞，触目惊心啊，程序使用wordpress。我看了一下列出来的漏洞URL，大多都不是网站生成的，有些看结构就是dedecms之流的，这是网站真的有漏洞，还是有些人在尝试程序漏洞呢？应该怎样修复跨站漏洞？

http://www.abc.com/user/profile.php?mode=register''><scRipt>alert(98733)</sCript>&agreed=true&coppa=0 跨站攻击1 mode 未修复立即检测|查看详情

http://www.abc.com/shop/1/0-0-25-0-0-0-0?fm=style''><scRipt>alert(98733)</sCript> 跨站攻击1 fm 未修复立即检测|查看详情

http://www.abc.com/member.php?mod=register''><scRipt>alert(98733)</sCript> 跨站攻击1 mod 未修复立即检测|查看详情

http://www.abc.com/user/cf661230/h/company.cfm?company=661230dex=T006&syasyu=&items=01-661230e=product_info&products_... 跨站攻击1 products_id 未修复立即检测|查看详情

http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 quoted 未修复立即检测|查看详情

http://www.abc.com/shop/7/0-0-39-0-0-0-0?fm=style''><scRipt>alert(98733)</sCript> 跨站攻击1 fm 未修复立即检测|查看详情

http://www.abc.com/MSOffice/cltreq.asp?UL=1''><scRipt>alert(98733)</sCript>&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0 跨站攻击1 UL 未修复立即检测|查看详情

http://www.abc.com/article/52288/?utm_content=buffer123fc&utm_medium=social&utm_source=twitter.com''><scRipt>alert(98... 跨站攻击1 utm_source 未修复立即检测|查看详情

http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 ct 未修复立即检测|查看详情

http://www.abc.com/fckeditor/editor/filemanager/connectors/jsp/connector.jsp?Command=GetFolders&Type=File&CurrentFold... 跨站攻击1 CurrentFolder 未修复立即检测|查看详情

http://www.abc.com/article/52288/?utm_content=buffer123fc&utm_medium=social&utm_source=twitter.com&utm_campaign=buffe... 跨站攻击1 utm_campaign 未修复立即检测|查看详情

http://www.abc.com/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4518''><scRipt>alert(98733)</sCript>&STRMVER=4&CAPREQ=0 跨站攻击1 BUILD 未修复立即检测|查看详情

http://www.abc.com/topic/?option=com_registration&task=register''><scRipt>alert(98733)</sCript> 跨站攻击1 task 未修复立即检测|查看详情

http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 plid 未修复立即检测|查看详情

http://www.abc.com/weixin/?m=index&c=index''><scRipt>alert(98733)</sCript> 跨站攻击1 c 未修复立即检测|查看详情

http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 rn 未修复立即检测|查看详情

http://www.abc.com/article/15579/?utm_campaign=Share&utm_medium=share&utm_source=qzone&appinstall=1&__=3BFB''><scRipt... 跨站攻击1 __ 未修复立即检测|查看详情

http://www.abc.com/article/15965/?lgSqfUkxcc=N7d4JaEYIN''><scRipt>alert(98733)</sCript> 跨站攻击1 lgSqfUkxcc 未修复立即检测|查看详情

http://www.abc.com/article/27161/?ucshareauto=1''><scRipt>alert(98733)</sCript> 跨站攻击1 ucshareauto 未修复立即检测|查看详情

4807 次点击

所在节点

6 条回复

kmvan

2014-10-08 10:08:09 +08:00

这种攻击有啥用？

XXOO

2014-10-08 10:14:33 +08:00

笑过就好了.有阿里云给你防就ok了.

GASALA

2014-10-08 10:36:23 +08:00

@kmvan 谢谢回复，因为不太了解情况，被阿里云后台的红色提示吓尿了。

GASALA

2014-10-08 10:36:40 +08:00

@XXOO 谢谢，那我就放心了。

xiaojj

2014-10-08 10:41:31 +08:00

程序里面对提交的参数没过滤好,
比如可以提交一篇文章,在文章里面有一个精心构造过的链接,管理员点了之后,他就得到了管理员的cookie.

Automan

2014-10-08 10:44:23 +08:00

url 的 XSS 很多浏览器都可以组织掉，最危险的还是存储型的 XSS

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/137515

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX