无限星辰工作室-客户无限互联网动力之源

标题: Discuz!x3.2的存在跨站漏洞修复方案（高危）-helper_mobile.php [打印本页]

---

作者: crx349    时间: 2016-9-19 00:51
标题: Discuz!x3.2的存在跨站漏洞修复方案（高危）-helper_mobile.php
【风险概述】：导致论坛站点用户信息被窃取等风险；
【漏洞描述】：Discuz的helper_mobile.php存在跨站漏洞，攻击者可利用该漏洞窃取论坛站点用户信息。
【影响版本】：全版本
【修复建议】：
  修改文件：source/class/helper/helper_mobile.php
搜索：

1. $query_sting_tmp = str_replace(array('&mobile=yes', 'mobile=yes'), array(''), $_SERVER['QUERY_STRING']);
   
2.                         $_G['setting']['mobile']['pageurl'] = $_G['siteurl'].substr($_G['PHP_SELF'], 1).($query_sting_tmp ? '?'.$query_sting_tmp.'&mobile=no' : '?mobile=no' );

复制代码

修改为：

1. parse_str($_SERVER['QUERY_STRING'], $query);
   
2. $query['mobile'] = 'no';
   
3. $query_sting_tmp = http_build_query($query);
   
4. $_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).$query_sting_tmp;

复制代码

---

欢迎光临 无限星辰工作室-客户无限互联网动力之源 (https://www.xmspace.net/)

Powered by Discuz! X3.4