关于discuzcode的存储型XSS脚本漏洞修复方案
disuczcode 函数存在解析漏洞, 用户可以直接在帖子或者使用discuz代码的地方输入 XSS 攻击代码从而威胁浏览者的安全修补方案:
Discuz!X 系列程序
修改文件 source/function/function_discuzcode.php
Discuz 6-7.2程序
修改文件 include/discuzcode.func.php
修改方法:
1. 查找代码:
function parseemail($email, $text) {2.在上面的这行代码下方添加一行
$text = str_replace('\"', '"', $text);修改完就可以解决这个问题。
事后,过来看看!
页:
[1]