2. Z-BlogPHP
  3. /zb_system/script/c_html_js_add.php 越权访问漏洞

/zb_system/script/c_html_js_add.php 越权访问漏洞

用户 lyscedu2 6月前 818 查看全部

出现越权访问漏洞如何解决?



最新回复 (7)
全部楼主
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 2
    被上,级通报,要求必须整改。
    /zb_system/script/c_html_js_add.php
    越权访问漏洞
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 3


  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 4
    问了好几个做网络安全的也不会,只能来这里求助了。
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 5
    zx.asd 你说的问题是指的哪里?
    上级反馈:zb_system为源代码路径,存在其他含代码页面泄露可能,请予排查
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 6
    隔壁老李 猜测:c_html_js_add.php虽然是PHP后缀,但是前台输出的却是js代码,你们上级部门的安全人员错误的认为这个php文件直接把源码输出了。
    这个能不能改一下代码输出方式?不让直接显示 源代码或者不让直接访问该源文件?
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 7
    尔今 “上级”可能就只差明说了:通过zb_system一眼就能看出网站是用知名开源程序搭建的…… 猜测:要么不希望你用,要么希望你高明的用,比如二开(建议找官方)
    我试过对此进行加密或权限设置均不能秦效。
  • 用户 lyscedu2 楼主 6月前 查看全部 0
    引用 8
    隔壁老李 你如果一直这么纠结的话有两个解决方案1.直接删掉文件并删掉模板里对文件的调用,带来的问题是:留言不可用、某些插件不可用、其他未知问题2.不要用zblog当然你要是买了商业版授权的话可以联系ZB官方咨询 ...
    我试过删除该文件,但这样一来,所有的页面均失去了分页功能,包括后台。
    • ZBlogger技术交流中心
      9
          
返回
发新帖
作者最近主题