/zb_system/script/c_html_js_add.php 越权访问漏洞

用户 lyscedu2 1月前 487

出现越权访问漏洞如何解决?



最新回复 (14)
全部楼主
  • 用户 lyscedu2 1月前 0
    引用 2
    被上,级通报,要求必须整改。
    /zb_system/script/c_html_js_add.php
    越权访问漏洞
  • 用户 lyscedu2 1月前 0
    引用 3


  • 用户 lyscedu2 1月前 0
    引用 4
    问了好几个做网络安全的也不会,只能来这里求助了。
  • 管理员 zx.asd 1月前 0
    引用 5
    你说的问题是指的哪里?

    短信已禁用,有事发贴。

  • 超级版主 隔壁老李 1月前 0
    引用 6
    猜测:c_html_js_add.php虽然是PHP后缀,但是前台输出的却是js代码,你们上级部门的安全人员错误的认为这个php文件直接把源码输出了。

    本人应用 | 动态:野路子博客 | 教程:Z-Blog从入门到放弃 | zblog交流群(验证zblog)

  • 应用开发者 bloggo 1月前 0
    引用 7
    c_html_js_add.php不是漏洞,仅是输出与网站评论功能相关的js代码。如果在意改写代码的成本,干脆不引用就好了。1、网站后台——网站设置,关掉网站评论功能;2、网站主题模板文件zb_users/theme/主题id/template/header.php,删掉这一行<script src="{$host}zb_system/script/c_html_js_add.php"></script>,在网站后台再点击“清空缓存并重新编译模板”,即可生效。

    本人作品,提供Z-blogPHP主题定制、仿站和修改等服务。在应用页面找到我的联系方式。

  • 管理员 未寒 1月前 1
    引用 8
    https://blog.zblogcn.com/zb_system/script/c_html_js_add.php
    你看这是什么

    未寒博客

  • 管理员 zx.asd 1月前 0
    引用 9
    隔壁老李 猜测:c_html_js_add.php虽然是PHP后缀,但是前台输出的却是js代码,你们上级部门的安全人员错误的认为这个php文件直接把源码输出了。
    破案了,这是正式,这就是一个php后缀的js文件,没有一点点问题!

    短信已禁用,有事发贴。

  • 用户 lyscedu2 1月前 0
    引用 10
    zx.asd 你说的问题是指的哪里?
    上级反馈:zb_system为源代码路径,存在其他含代码页面泄露可能,请予排查
  • 超级版主 尔今 1月前 0
    引用 11
    lyscedu2 上级反馈:zb_system为源代码路径,存在其他含代码页面泄露可能,请予排查
    “上级”可能就只差明说了:通过zb_system一眼就能看出网站是用知名开源程序搭建的……
    猜测:要么不希望你用,要么希望你高明的用,比如二开(建议找官方)

    本人 作品 咨询和问题在具体 应用页面 点击QQ沟通能更快解决。 Z-BlogPHP常见问题教程

  • 用户 lyscedu2 1月前 0
    引用 12
    隔壁老李 猜测:c_html_js_add.php虽然是PHP后缀,但是前台输出的却是js代码,你们上级部门的安全人员错误的认为这个php文件直接把源码输出了。
    这个能不能改一下代码输出方式?不让直接显示 源代码或者不让直接访问该源文件?
  • 用户 lyscedu2 1月前 0
    引用 13
    尔今 “上级”可能就只差明说了:通过zb_system一眼就能看出网站是用知名开源程序搭建的…… 猜测:要么不希望你用,要么希望你高明的用,比如二开(建议找官方)
    我试过对此进行加密或权限设置均不能秦效。
  • 超级版主 隔壁老李 1月前 0
    引用 14

    你如果一直这么纠结的话有两个解决方案
    1.直接删掉文件并删掉模板里对文件的调用,带来的问题是:留言不可用、某些插件不可用、其他未知问题
    2.不要用zblog

    当然你要是买了商业版授权的话可以联系ZB官方咨询有无其他方案

    本人应用 | 动态:野路子博客 | 教程:Z-Blog从入门到放弃 | zblog交流群(验证zblog)

  • 用户 lyscedu2 1月前 0
    引用 15
    隔壁老李 你如果一直这么纠结的话有两个解决方案1.直接删掉文件并删掉模板里对文件的调用,带来的问题是:留言不可用、某些插件不可用、其他未知问题2.不要用zblog当然你要是买了商业版授权的话可以联系ZB官方咨询 ...
    我试过删除该文件,但这样一来,所有的页面均失去了分页功能,包括后台。
    • ZBlogger技术交流中心
      16
          
返回
发新帖