小編給大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修復(fù)，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

前段時間在用ecshop建站的時候，360報警說出現(xiàn)了嚴(yán)重的漏洞：

Ecshop pages.lbi.php Xss漏洞

==============================我是分割線==================================

• 描述：

• 目標(biāo)存在跨站腳本***。

  1.跨站腳本***就是指惡意***者向網(wǎng)頁中插入一段惡意代碼，當(dāng)用戶瀏覽該網(wǎng)頁時，嵌入到網(wǎng)頁中的惡意代碼就會被執(zhí)行。一般用來盜取瀏覽器cookie

  + 展開

• 危害：

• 惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容。

• 解決方案：

• 臨時解決方案：

  1.使用360防護腳本

• ==========================我是分割線=================================

于是用360防護腳本，但沒起到任何作用。于是只好自己動手。

先來分析這個漏洞的原因：

直接訪問temp/compiled/pages.lbi.php時，瀏覽源文件，會發(fā)現(xiàn)如下代碼：

很顯然，這個漏洞的原理就是閉合了這個form再在客戶端執(zhí)行javascript.

然后分析出現(xiàn)不閉合form的原因，打開page.lbi.php文件，可以看到如下代碼