网站漏洞修复

10月20日 · 2017年

博客网页导致电脑CPU飙升的问题解决记录

1109 46
已经有好几个访客朋友匿名反馈只要打开我的博客电脑的CPU就狂转:因为忙一直也没当一回事,一是我自己的MacbookAir打开并没有异常,二是因为我近期都没进行过折腾改造,不应该有问题才对。直到今天空下来才想到这个问题还没去验证一番,于是让几个朋友试了下,都反馈确实有问题!Windows下CPU狂转,MAC下风扇呼呼响(奇怪的是我的MAC没问题),看来确实有必要解决下了。...
6月6日 · 2015年

WordPress集成SendCloud邮件代发,规避SMTP泄漏网站主机真实IP的风险

12011 96
还是几个月前,中国博客联盟的晓风依然博主QQ联系我,说发现WordPress评论回复邮件存在一个巨大的风险:WordPress评论回复邮件,不管是使用SMTP代发还是用Sendmail发送,都会暴露网站主机的真实IP!经过我亲自验证,发现的确存在这个令人担忧的问题!但是,一时之间并没有合适的解决方案,所以我和他都一致认为在没有找到替代方案之前,这个东西不能曝光!就算有部分人已经知道了,但...
1月13日 · 2015年

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

5185 4
最近在折腾网站XSS漏洞修复的时候,当我把XSS漏洞和谐成功之后,360扫描送来了一个"彩蛋": 本以为又是360误报,结果点击看了下,还真能打开PHPinfo:PHP彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为PHP是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神!一、如何触发PHP彩蛋?我们只要在运行PHP的服务器上,在域名后面输入...
1月12日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复思路(二)

1088 8
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等...
1月11日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复方法(一)

13805 17
今天又做了一回奥特曼(out man),居然才发现360的综合搜索变成了好搜!前几天,其实看到过一次好搜,但是以为又是DNS劫持出现的流氓搜索。今天细看了下,居然是360综合搜索改头换面后的独立品牌:好搜(怎么读都有点山寨)。一、惊现漏洞好了,暂且不研究这名称到底咋样,顺手site了一下我2个网站:张戈博客和中国博客联盟。结果,site中国博客联盟的结果吓我一跳:...
4月19日 · 2014年

网站安全检测提示“页面异常导致本地路径泄漏”的解决办法

10003 17
在360网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的Wordpress网站,那是必然会报。。。这些漏洞,之前玛思阁就已经手动修复了,但是Wordpress升级后都被覆盖还原了,这不,又爆了8个漏洞!虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修...