V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
GASALA
V2EX  ›  问与答

阿里云云盾提示有 144 个跨站攻击漏洞

  •  
  •   GASALA · 2014-10-08 10:05:43 +08:00 · 4974 次点击
    这是一个创建于 3728 天前的主题,其中的信息可能已经有所发展或是发生改变。
    手头的一小网站,最近登录阿里云后台提示有144个跨站攻击漏洞,触目惊心啊,程序使用wordpress。我看了一下列出来的漏洞URL,大多都不是网站生成的,有些看结构就是dedecms之流的,这是网站真的有漏洞,还是有些人在尝试程序漏洞呢?应该怎样修复跨站漏洞?

    http://www.abc.com/user/profile.php?mode=register''><scRipt>alert(98733)</sCript>&agreed=true&coppa=0 跨站攻击1 mode 未修复 立即检测|查看详情

    http://www.abc.com/shop/1/0-0-25-0-0-0-0?fm=style''><scRipt>alert(98733)</sCript>; 跨站攻击1 fm 未修复 立即检测|查看详情

    http://www.abc.com/member.php?mod=register''><scRipt>alert(98733)</sCript>; 跨站攻击1 mod 未修复 立即检测|查看详情

    http://www.abc.com/user/cf661230/h/company.cfm?company=661230dex=T006&syasyu=&items=01-661230e=product_info&products_... 跨站攻击1 products_id 未修复 立即检测|查看详情

    http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 quoted 未修复 立即检测|查看详情

    http://www.abc.com/shop/7/0-0-39-0-0-0-0?fm=style''><scRipt>alert(98733)</sCript>; 跨站攻击1 fm 未修复 立即检测|查看详情

    http://www.abc.com/MSOffice/cltreq.asp?UL=1''><scRipt>alert(98733)</sCript>&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0 跨站攻击1 UL 未修复 立即检测|查看详情

    http://www.abc.com/article/52288/?utm_content=buffer123fc&utm_medium=social&utm_source=twitter.com''><scRipt>alert(98... 跨站攻击1 utm_source 未修复 立即检测|查看详情

    http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 ct 未修复 立即检测|查看详情

    http://www.abc.com/fckeditor/editor/filemanager/connectors/jsp/connector.jsp?Command=GetFolders&Type=File&CurrentFold... 跨站攻击1 CurrentFolder 未修复 立即检测|查看详情

    http://www.abc.com/article/52288/?utm_content=buffer123fc&utm_medium=social&utm_source=twitter.com&utm_campaign=buffe... 跨站攻击1 utm_campaign 未修复 立即检测|查看详情

    http://www.abc.com/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4518''><scRipt>alert(98733)</sCript>&STRMVER=4&CAPREQ=0 跨站攻击1 BUILD 未修复 立即检测|查看详情

    http://www.abc.com/topic/?option=com_registration&task=register''><scRipt>alert(98733)</sCript>; 跨站攻击1 task 未修复 立即检测|查看详情

    http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 plid 未修复 立即检测|查看详情

    http://www.abc.com/weixin/?m=index&c=index''><scRipt>alert(98733)</sCript>; 跨站攻击1 c 未修复 立即检测|查看详情

    http://www.abc.com/article/14228/?utm_campaign=Share&utm_medium=share&utm_source=qzonef4aa01fb3fd5707b9&rn=0.26771495... 跨站攻击1 rn 未修复 立即检测|查看详情

    http://www.abc.com/article/15579/?utm_campaign=Share&utm_medium=share&utm_source=qzone&appinstall=1&__=3BFB''><scRipt... 跨站攻击1 __ 未修复 立即检测|查看详情

    http://www.abc.com/article/15965/?lgSqfUkxcc=N7d4JaEYIN''><scRipt>alert(98733)</sCript>; 跨站攻击1 lgSqfUkxcc 未修复 立即检测|查看详情

    http://www.abc.com/article/27161/?ucshareauto=1''><scRipt>alert(98733)</sCript>; 跨站攻击1 ucshareauto 未修复 立即检测|查看详情
    6 条回复    2014-10-08 10:44:23 +08:00
    kmvan
        1
    kmvan  
       2014-10-08 10:08:09 +08:00   ❤️ 1
    这种攻击有啥用?
    XXOO
        2
    XXOO  
       2014-10-08 10:14:33 +08:00   ❤️ 1
    笑过就好了.有阿里云给你防就ok了.
    GASALA
        3
    GASALA  
    OP
       2014-10-08 10:36:23 +08:00
    @kmvan 谢谢回复,因为不太了解情况,被阿里云后台的红色提示吓尿了。
    GASALA
        4
    GASALA  
    OP
       2014-10-08 10:36:40 +08:00
    @XXOO 谢谢,那我就放心了。
    xiaojj
        5
    xiaojj  
       2014-10-08 10:41:31 +08:00
    程序里面对提交的参数没过滤好,
    比如可以提交一篇文章,在文章里面有一个精心构造过的链接,管理员点了之后,他就得到了管理员的cookie.
    Automan
        6
    Automan  
       2014-10-08 10:44:23 +08:00
    url 的 XSS 很多浏览器都可以组织掉,最危险的还是存储型的 XSS
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1605 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:31 · PVG 00:31 · LAX 08:31 · JFK 11:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.