discuz因为crossdomain.xml配置不当造成腾讯云服务器报【主机安全】恶意文件通知

ud3

discuz搭建的网站，根目录下crossdomain.xml文件

漏洞名称        crossdomain.xml 配置不当
漏洞标签        远程利用
漏洞类型        Web-CMS漏洞
威胁等级        中危
CVE编号        -
披露时间        2017-08-30
漏洞描述        不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求，还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息，甚至获得anti-csrf token。
        
/crossdomain.xml 存在为 * 的 allow-access-from 域名配置;

1. <?xml version="1.0"?>
   
2. <cross-domain-policy>
   
3.   <allow-access-from domain="*" />
   
4. </cross-domain-policy>

复制代码

将其中的*改为自己的域名，如果是多域名的，需要将

1. <allow-access-from domain="*" />

复制代码

多复制几行添加上域名即可。
修改后的样式为

1. <?xml version="1.0"?>
   
2. <cross-domain-policy>
   
3.   <allow-access-from domain=".ud3.cn" />
   
4. </cross-domain-policy>

复制代码