crx349 发表于 2016-9-19 00:51:45

Discuz!x3.2的存在跨站漏洞修复方案(高危)-helper_mobile.php

【风险概述】:导致论坛站点用户信息被窃取等风险;
【漏洞描述】:Discuz的helper_mobile.php存在跨站漏洞,攻击者可利用该漏洞窃取论坛站点用户信息。
【影响版本】:全版本
【修复建议】:
修改文件:source/class/helper/helper_mobile.php
搜索:
$query_sting_tmp = str_replace(array('&mobile=yes', 'mobile=yes'), array(''), $_SERVER['QUERY_STRING']);
                        $_G['setting']['mobile']['pageurl'] = $_G['siteurl'].substr($_G['PHP_SELF'], 1).($query_sting_tmp ? '?'.$query_sting_tmp.'&mobile=no' : '?mobile=no' );
修改为:
parse_str($_SERVER['QUERY_STRING'], $query);
$query['mobile'] = 'no';
$query_sting_tmp = http_build_query($query);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).$query_sting_tmp;
页: [1]
查看完整版本: Discuz!x3.2的存在跨站漏洞修复方案(高危)-helper_mobile.php