织梦留言板插件问题

来源:蜘蛛抓取(WebSpider) 时间:2016-09-03 17:33 标签: 织梦留言板模板下载
dedeCMS留言权限绕过导致跨站攻击及修复
dedeCMS某处由于权限绕过可导致跨站脚本攻击
首先是/plus/guestbook.php
action=admin然后来到/guestbook/edit.inc.php
else if($job=='editok')//这里没有判断$g_isadmin
$remsg = trim($remsg);
$dsql-&ExecuteNoneQuery(&update `#@__guestbook` set `msg`='$msg', `posttime`='&.time().&' where id='$id' &);//而这里没有过滤,可以写代码了&&
ShowMsg(&成功更改或回复一条留言!&,$GUEST_BOOK_POS);
/plus/guestbook.php?action=admin&job=editok&id=100&msg=&body onload=alert(document.cookie)&
这个id,可以在[回复/编辑]这个按钮处看到
仔细试试没准还能试出注入呢。。。。
修复方案:
权限啊,过滤啊,自己看着办吧
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'dedecms留言板_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
评价文档:
dedecms留言板
上传于||文档简介
&&d​e​d​e​c​m​s​设​置​前​台​留​言​,​后​台​查​看​留​言
大小:1.47KB
登录百度文库,专享文档复制特权,财富值每天免费拿!
你可能喜欢织梦dedecms留言板统计留言数量的方法_最火下载站
您的位置: >
> 织梦dedecms留言板统计留言数量的方法
织梦dedecms留言板统计留言数量的方法
查找 guestbook.php 73行左右 //显示所有留言 else { setcookie(&GUEST_BOOK_POS&,GetCurUrl(),time()+3600,&/'); if($g_isadmin) $sql = &select * from `dede_guestbook` order by id desc&; else $sql = &select * from `dede_guestbook` where ischeck=1 order by id desc&; $dlist = new DataListCP(); $dlist-&pageSize = 10; $dlist-&SetParameter(&gotopagerank&,$gotopagerank); $dlist-&SetTemplate(DEDETEMPLATE.&/plus/guestbook.htm&); $dlist-&SetSource($sql); $dlist-&Display(); } ?& 改成 //显示所有留言 else { setcookie(&GUEST_BOOK_POS&,GetCurUrl(),time()+3600,&/'); if($g_isadmin) $sql = &select * from `dede_guestbook` order by id desc&; else $sql = &select * from `dede_guestbook` where ischeck=1 order by id desc&; $dsql-&Execute(&cs&,$sql); $totalgb=$dsql-&GetTotalRow(&cs&);//留言数量 $dlist = new DataListCP(); $dlist-&pageSize = 10; $dlist-&SetParameter(&gotopagerank&,$gotopagerank); $dlist-&SetTemplate(DEDETEMPLATE.&/plus/guestbook.htm&); $dlist-&SetSource($sql); $dlist-&Display(); } ?& &&&&&&&&&&&&&&&&&&&&&&&&&然后在模板文件用 &?php echo $GLOBALS[totalgb];?& 来显示
上一篇: 下一篇:织梦(dedecms)怎么修改留言板-S8站长门户只需一步,快速开始
扫一扫,访问微社区
后使用快捷导航没有帐号?
帮别人做一个网站,模板是从原创区下载的,robin亲自操刀制作。现在其他顶级栏目都已经弄好,但是在线留言不知道怎么弄。里面有个留言模板,就是不知道怎么去设置,第一次弄留言,还请高手解答。
自定义表单也可以做,用系统自带的 你当时应该安装的不是完全版,没有下载好在线留言模块,可以去下载一下
自定义表单也可以做,用系统自带的 你当时应该安装的不是完全版,没有下载好在线留言模块,可以去下载一下
有谁知道怎么设置没,留言模块都已经安装好,就是这个留言模板不知道如何和顶级栏目结合起来。
尝试下用自定义表单来做,没必须那么死板要用留言模块
空白, 发表于
尝试下用自定义表单来做,没必须那么死板要用留言模块
恩,是的,但是现在还不是太熟。
在线留言得看行业吧,有些行业用不太到
lvyanliang 发表于
在线留言得看行业吧,有些行业用不太到
是的,我觉得现在在线留言很少用了,因为在线聊天系统太多了。通过在线留言变为一个售后评价系统可能更有用。
chenchunguang 发表于
是的,我觉得现在在线留言很少用了,因为在线聊天系统太多了。通过在线留言变为一个售后评价系统可能更有 ...
我觉得那样用类似多说这样的插件也不错啊
不是很懂 不过很厉害的样子
装了个多说插件!

我要回帖

更多关于 织梦留言板模板下载 的文章

 

随机推荐