小編給大家分享一下Ecshop pages.lbi.php Xss漏洞怎么修復(fù)，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

成都創(chuàng)新互聯(lián)專注于峨山縣網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供峨山縣營(yíng)銷型網(wǎng)站建設(shè)，峨山縣網(wǎng)站制作、峨山縣網(wǎng)頁(yè)設(shè)計(jì)、峨山縣網(wǎng)站官網(wǎng)定制、小程序開(kāi)發(fā)服務(wù)，打造峨山縣網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供峨山縣網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

前段時(shí)間在用ecshop建站的時(shí)候，360報(bào)警說(shuō)出現(xiàn)了嚴(yán)重的漏洞：

Ecshop pages.lbi.php Xss漏洞

==============================我是分割線==================================

• 描述：

• 目標(biāo)存在跨站腳本***。

  1.跨站腳本***就是指惡意***者向網(wǎng)頁(yè)中插入一段惡意代碼，當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí)，嵌入到網(wǎng)頁(yè)中的惡意代碼就會(huì)被執(zhí)行。一般用來(lái)盜取瀏覽器cookie

  + 展開(kāi)

• 危害：

• 惡意用戶可以使用該漏洞來(lái)盜取用戶賬戶信息、模擬其他用戶身份登錄，更甚至可以修改網(wǎng)頁(yè)呈現(xiàn)給其他用戶的內(nèi)容。

• 解決方案：

• 臨時(shí)解決方案：

  1.使用360防護(hù)腳本

• ==========================我是分割線=================================

于是用360防護(hù)腳本，但沒(méi)起到任何作用。于是只好自己動(dòng)手。

先來(lái)分析這個(gè)漏洞的原因：

直接訪問(wèn)temp/compiled/pages.lbi.php時(shí)，瀏覽源文件，會(huì)發(fā)現(xiàn)如下代碼：

很顯然，這個(gè)漏洞的原理就是閉合了這個(gè)form再在客戶端執(zhí)行javascript.

然后分析出現(xiàn)不閉合form的原因，打開(kāi)page.lbi.php文件，可以看到如下代碼

" method="get">
_var['pager']['styleid'] == 0): ?>

這里執(zhí)行$this的時(shí)候就出現(xiàn)錯(cuò)誤了，因?yàn)闆](méi)有進(jìn)行template的初始化。

既然找到原因了，下面給出解決辦法：

打開(kāi)page.lbi文件，在第二行插入如下代碼：

再次測(cè)試，一切正常。

以上是“Ecshop pages.lbi.php Xss漏洞怎么修復(fù)”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！