discuz因为crossdomain.xml配置不当造成腾讯云服务器报【主机安全】恶意文件通知
discuz搭建的网站,根目录下crossdomain.xml文件漏洞名称 crossdomain.xml 配置不当
漏洞标签 远程利用
漏洞类型 Web-CMS漏洞
威胁等级 中危
CVE编号 -
披露时间 2017-08-30
漏洞描述 不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。
/crossdomain.xml 存在为 * 的 allow-access-from 域名配置;<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>将其中的*改为自己的域名,如果是多域名的,需要将<allow-access-from domain="*" />多复制几行添加上域名即可。
修改后的样式为<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain=".ud3.cn" />
</cross-domain-policy>
页:
[1]