关于模板的三个漏洞问题怎么修复？

關于模板的三個漏洞問題怎么修復？

安全設置

總計(ji)三(san)個(ge)漏洞，一個(ge)高危(wei)，另(ling)外2個(ge)是中危(wei)。

漏洞一：

漏洞名稱：目錄(lu)穿越漏洞

風險頁面	//www.xxxxxx.com/

風險(xian)等級(ji)	高(gao)
風險描述(shu)	此腳本可能(neng)容易受到(dao)目(mu)錄(lu)(lu)穿越攻擊。目(mu)錄(lu)(lu)穿越是(shi)一個漏(lou)洞，使攻擊者(zhe)可以訪問受限制的目(mu)錄(lu)(lu)并在Web服(fu)務器(qi)的根目(mu)錄(lu)(lu)之外執行命令。
危(wei)害影響	通(tong)過利用目(mu)錄(lu)穿越漏洞，攻擊者(zhe)可(ke)以退(tui)出根目(mu)錄(lu)并訪(fang)問其他目(mu)錄(lu)中的文(wen)件(jian)。攻擊者(zhe)可(ke)能(neng)會查看受限制的文(wen)件(jian)或執行命令，從而完全破(po)壞了Web服務(wu)器。

解決方(fang)案(an)

腳本應(ying)從用(yong)戶輸入中過濾(lv)元字(zi)符。

風險舉證：	//www.xxxx.com/
	請(qing)求：	GET /xxxxx/static/config/../../WEB-INF/web.xml? HTTP/1.1 Connection: Keep-Alive User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

漏洞二：

漏洞名稱：應(ying)用程序錯(cuo)誤消息(xi)泄露

風險頁(ye)面	//www.xxx.com/index.php
風險(xian)等級(ji)	中
風險描(miao)述	此頁面包含錯誤/警告消息，可能會泄露敏感信息。該消息還可以包含產生未處理異常的文件的位置。如果在文檔頁面中找到錯誤消息，則可能是誤報。
危(wei)害影響	錯誤消息可能會泄露敏感信息。此信息可用于發起進一步的攻擊。
解決方案	查看此(ci)腳本的源(yuan)代碼，關閉敏感錯誤(wu)信息輸出。

風險舉證：	//www.xxx.com/index.php
	請求：	GET /index.php?m=home&c[]=Search&a=lists&keywords=1&submit=1 HTTP/1.1 Referer: //www.xxx.com/index.php Connection: Keep-Alive Cookie: PHPSESSID=xxxxdicjvm27xxxxd5ltctei;yjs_id=xxxxxx25bf4687xxxx52;ctrl_time=1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

漏洞三：Javascript庫不安全

漏洞名(ming)稱(cheng)	Javascript庫(ku)不安全【原理掃描】
風險頁面	//www.xxxx.com/template/pc/skin/js/jquery-1.7.2.min.js
風險等級	中(zhong)
風(feng)險描述	正在使用易受攻擊(ji)的Javascript庫(ku)。已報(bao)告此版本的Javascript庫(ku)存在一個或多個漏(lou)洞。有關受影(ying)響(xiang)的庫(ku)和所報(bao)告的漏(lou)洞的更多信(xin)息(xi)，請(qing)查閱攻擊(ji)詳細信(xin)息(xi)和Web參考。
危害影(ying)響	有關更多信(xin)息，請(qing)參考Web參考。
解決方(fang)案	升級到最新(xin)版(ban)本(ben)。
參考資(zi)料
CVE編號	-
BID編號
CNVD編號
CNNVD編號
風險(xian)舉證：	//www.xxxxx.com/template/pc/skin/js/jquery-1.7.2.min.js
	請求：	GET /template/pc/skin/js/jquery-1.7.2.min.js HTTP/1.1 Accept : / Cookie : PHPSESSID=xxxicjvm27jtxxx5ltctei Referer : //www.xxxx.com/ User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36

以上三個漏洞怎么修復？

2023年09月21日 | 2598人閱讀

好問題 0

舉報

最佳答案

小(xiao)虎哥

150****5362 等1人贊同

漏洞一：服務器站點(dian)本(ben)身問題(ti)，設置防跨站，禁止訪問站點(dian)以外(wai)的文件，以寶塔為例(li)：

漏洞二：在更新(xin)日志里，下載最新(xin)的(de)更新(xin)補丁包

漏洞三：網站前(qian)臺模(mo)板低版本jquery文件問(wen)題，可以查看以下教程升級(ji)jquery到最新版本

//www.jinyoudianli.com/help/eyoujq/30093.html

然后檢(jian)查(cha)前(qian)臺頁面效果等(deng)功能(neng)是否受影(ying)響，自行排查(cha)。

2023年09月26日

150****5362 | 2023年09月26日

回(hui)復

1、漏洞一如果是用nginx代理的話應該怎么設置？ 2、漏洞二我目前的版本是1.6.3，可以直接下載替換文件是吧？

150****5362 | 2023年09月26日(ri)

回復(fu)

直接替換后提示找不數據表或視圖不存在 [錯誤代碼] SQLSTATE[42S02]: Base table or view not found: 1146 Table 'hdcms.t_admin_theme' doesn't exist 到系統表，報錯了。報錯 \core\library\think\db\Connection.php 第 389 行左右

回答 | 共 10 個

默(mo)認排序

alpha

jquery-1.7.2.min.js 我知道這下一個最新的替換不就行啦！https://code.jquery.com/jquery-3.7.1.min.js

2023年(nian)09月21日(ri)

150****5362 | 2023年09月21日

回(hui)復

替換是向下兼容的吧，如果替換之后之前的腳本是否還能正常運行？

alpha | 2023年09月21日

回(hui)復

先替換了在說，報錯了在找到報錯原因，讓chatgpt 修復方案。我就是這么搞的

150****5362 | 2023年09月21日

回(hui)復

漏洞一和漏洞二有方法嗎？

alpha | 2023年09月21日(ri)

回復

這你要問問官方的技術人員。我是不懂代碼的

150****5362 | 2023年09月21日

回復

好的，官方問了讓發帖子。

帕赫貝爾(er)

你(ni)好，遇到相同問題，你(ni)的這個問題解決(jue)了嗎？是帖子里這三種方法(fa)解決(jue)的嗎

2024年05月13日

游客

午夜91福利视频,午夜成人在线观看,午夜在线视频免费观看,午夜福利短视频,精品午夜成人免费视频APP

產品

服務

幫助

關于