X1运营交流
关于网站安全隐患告知书
  • 蓝色强 消费1027.94元 16天前 13:56 华为
252
36

站长好,我这个站的安全又被上级通报了,说是有漏洞,让即日整改修复,特向站长和大家求助,如何应对?




0
打赏
收藏
点击回复
      全部留言
  • 36
  • 诚信lawyer 普通粉丝 消费:0元 15天前 10:422楼

    我的那个齐博v9网站,被扫描出32个高危漏洞,3个普通漏洞,官方管理是采用安恒信息软件扫描出来的。真头疼,不改就关闭网站,还被网监责令口头警告。想改用X1,原来的服务器又不支持。

    诚信lawyer 消费:0元 15天前
    政府对稍稍重要的网站采取的扫描漏洞监管措施,是网站信息安全的必要措施,给龙城提个醒,注意修改完善这个,否则会到处都要被查被改。
    selon 消费:1403.01元 15天前
    来用我的服务器,直接给你配好环境
    银杏114在线 消费:2257.81元 15天前
    政府机关事业单位的网站一般不允许使用外面的服务器
    银杏114在线 消费:2257.81元 15天前
    @selon 只能使用自己单位网络中心或单位自配的服务器,目的也是为了信息安全。
    蓝色强 消费:1027.94元 华为 15天前
    自己搭linux虚拟机环境吧,不算很难,实在不行,单位出钱请站长帮忙吧!不像我这边是教育单位,比较缺钱!
  • 蓝色强 普通粉丝 消费:1027.94元 15天前 12:03
    华为
    6楼
    告知书里其他问题倒还能说的过去,因不属于高危漏洞,但属于敏感信息,电话号码,邮箱等,能取消的都取了
  • admin 超级管理员 消费:2.44元 15天前 07:202楼

    文件被你改坏了.解压文件.找到相应的目录替换吧

    1_2019070707201244953.zip

    \application\common\controller\Base.php


    1_20190707072027830c5.zip

    \application\index\controller\Login.php

    蓝色强 消费:1027.94元 15天前
    已成功替换,我还修改了config.php,关闭了 应用调试模式
        'app_debug'              => false,

    感谢龙城的关注,给龙城点赞!
  • admin 超级管理员 消费:2.44元 16天前 18:322楼

    无关痛痒的.根本算不上的漏洞的. 真正的漏洞, 这般吃国家粮的人,就检查不出来了.

    蓝色强 消费:1027.94元 华为 16天前
    没办法,必须要做修补,不然就要关停网站,同时封ip和'80,443端口,龙城支个招呗
    笨熊 消费:742.49元 iPhone 15天前
    就因为他们吃国家粮所以技术应该也高起不到哪去吧,技术估计也是买的公司的
  • admin 超级管理员 消费:2.44元 16天前 21:443楼

    本不是问题的问题.实在很纠结的话,就修改这个文件

    \application\common\controller\Base.php

    查找

    $_SERVER["HTTP_REFERER"]

    换成

    filtrate($_SERVER["HTTP_REFERER"])



    蓝色强 消费:1027.94元 华为 15天前
    谢谢龙城的支持、理解和帮助
    admin 消费:2.44元 16天前
    同时修改一下文件
    \application\index\controller\Login.php
    查找
    urlencode($fromurl?:$this->fromurl)
    替换为
    urlencode(filtrate($fromurl?:$this->fromurl))
    蓝色强 消费:1027.94元 15天前
    这两处改了,但是退出登录提示不正常,点击手机登录也不正常,显示页面源代码了...
    蓝色强 消费:1027.94元 15天前

    https://www.bhsedu.net.cn/index.php/index/login/phone.html
    报错:
                        $this->success('登录成功',$jump);
                    }
                }
                if($type=='iframe'){
                    $fromurl = url('index').'?type='.$type;
                }
                if(strstr($this->fromurl,'index/login/quit')){
                    $this->fromurl = url('index/index/index');
                }
                $this->assign('fromurl',urlencode(filtrate($fromurl?:$this->fromurl));
                $this->assign('type',$type);
                return $this->fetch($type=='iframe'?'iframe':'index');
            }
            
            /**
             * 手机登录或注册
             */
            public function phone(){
                $url = murl('member/index/index');

    https://www.bhsedu.net.cn/index/login/quit.html
    报错:


                        $this->success('登录成功',$jump);
                    }
                }
                if($type=='iframe'){
                    $fromurl = url('index').'?type='.$type;
                }
                if(strstr($this->fromurl,'index/login/quit')){
                    $this->fromurl = url('index/index/index');
                }
                $this->assign('fromurl',urlencode(filtrate($fromurl?:$this->fromurl));
                $this->assign('type',$type);
                return $this->fetch($type=='iframe'?'iframe':'index');
            }
            
            /**
             * 手机登录或注册
             */
            public function phone(){
                $url = murl('member/index/index');

  • wr1688 普通粉丝 消费:310.87元 16天前 19:07
    华为
    5楼
    这文件看了半天,都围绕pgone这个文件,原因是,提交时的字符串不能全是数字,不知道理解的对不对,真是这样的话,那就关闭手机注册,登录,验证功能
    蓝色强 消费:1027.94元 华为 16天前
    手机登录验证注册,我原本就是关闭的!
    wr1688 消费:310.87元 华为 16天前
    把那文件先删掉
    蓝色强 消费:1027.94元 华为 16天前
    这个可行,但不知道是否影响网站整体功能,可以先这样应对,但不知道别处是否还有这问题,谢谢提点
    蓝色强 消费:1027.94元 华为 16天前
    第一个跨站漏洞脚本怎么修补??phone. html可以暂时改个后缀
    wr1688 消费:310.87元 华为 16天前
    你在宝塔,嗯,网站设置里面关闭那个跨站
    蓝色强 消费:1027.94元 华为 16天前
    我没用宝塔,我是用的龙城的方法,加了防止跨站的设置,在虚拟站点文件上
  • wr1688 普通粉丝 消费:310.87元 16天前 19:03
    华为
    7楼
    可否直接和那些人协商
    蓝色强 消费:1027.94元 华为 16天前
    都怕担责,网信网安是监管部门,说不通的!
    wr1688 消费:310.87元 华为 16天前
    理解
  • 蓝色强 普通粉丝 消费:1027.94元 16天前 18:45
    华为
    3楼
    这个告知书应该是相关部门请网站安全等保测评机构出的,实在扛不过去了,管理的很严
  • 蓝色强 普通粉丝 消费:1027.94元 16天前 17:30
    华为
    4楼
    这个站基本上和x1官方站都是同步更新的,大家查一下自己的站是否也有这种漏洞,关键是有没有修补方法?
  • 蓝色强 普通粉丝 消费:1027.94元 16天前 17:08
    华为
    5楼
    这三个漏洞是服务器系统漏洞,还是网站代码的漏洞?如果是代码的漏洞,可有修补方法?不然辛辛苦苦搭的站要被关停
  • 银杏114在线 普通粉丝 消费:2257.81元 16天前 16:396楼

    所谓的网站安全漏洞扫描,一般政府机关、事业单位都搞这个,属意识形态安全工作范畴,政府机关与事业单位的网站会被要求专门的安全管理员,负责网站的安全事务。尤其注重漏洞这块,必须打上补丁,再次经扫描无误后,才会解除。

    银杏114在线 消费:2257.81元 16天前
    果不其然,关于教育的网站,华山中学的教育网站,在新疆,那块安全形势更严峻,要求更严格,你有罪受了
    蓝色强 消费:1027.94元 华为 16天前
    拜托大家能给出解决方法
  • Suifeng 程序开发者 消费:23.24元 16天前 15:493楼

    好专业的样子

  • snscn 普通粉丝 消费:1862.35元 16天前 14:46
    其他手机
    4楼
    这是啥,搞的这么专业?
更多回复
X1运营交流
      圈内贴子8396
  • 圈子成员245
本圈子内的新贴

热门分类
推荐内容
扫一扫访问手机版