关于网站安全隐患告知书

官方动态功能建议插件模块风格模板问题反馈技术交流站长杂谈代码共享 V系列产品运营交流

分享 收藏 举报: X

关于网站安全隐患告知书

蓝色强 消费1326.94元 2019-07-06 13:56 13:56 华为

普通粉丝

1675: 36

站长好，我这个站的安全又被上级通报了，说是有漏洞，让即日整改修复，特向站长和大家求助，如何应对？

赏礼

赏钱

点击回复

全部留言

共 36 条

银杏114在线实战运营者 消费:3609.79元 2019-07-13 14:34 14:346楼

0 赏礼回复

做网站的，但我只是代码的搬运工

诚信lawyer 普通粉丝 消费:0.1元 2019-07-07 10:42 10:426楼

我的那个齐博v9网站，被扫描出32个高危漏洞，3个普通漏洞，官方管理是采用安恒信息软件扫描出来的。真头疼，不改就关闭网站，还被网监责令口头警告。想改用X1，原来的服务器又不支持。

诚信lawyer 消费:0.1元 2019-07-07 10:51

政府对稍稍重要的网站采取的扫描漏洞监管措施，是网站信息安全的必要措施，给龙城提个醒，注意修改完善这个，否则会到处都要被查被改。

selon 消费:1403.01元 2019-07-07 11:06

来用我的服务器，直接给你配好环境

银杏114在线 消费:3609.79元 2019-07-07 11:30

政府机关事业单位的网站一般不允许使用外面的服务器

银杏114在线 消费:3609.79元 2019-07-07 11:31

@selon 只能使用自己单位网络中心或单位自配的服务器，目的也是为了信息安全。

蓝色强 消费:1326.94元 华为 2019-07-07 12:09

自己搭linux虚拟机环境吧，不算很难，实在不行，单位出钱请站长帮忙吧！不像我这边是教育单位，比较缺钱！

0 赏礼回复

蓝色强普通粉丝消费:1326.94元 2019-07-07 12:03 12:03
华为
6楼

告知书里其他问题倒还能说的过去，因不属于高危漏洞，但属于敏感信息，电话号码，邮箱等，能取消的都取了

0 赏礼回复

admin 超级管理员 消费:3.03元 2019-07-07 07:20 07:206楼

文件被你改坏了.解压文件.找到相应的目录替换吧
1_2019070707201244953.zip
\application\common\controller\Base.php

1_20190707072027830c5.zip
\application\index\controller\Login.php

蓝色强 消费:1326.94元 2019-07-07 11:07

已成功替换，我还修改了config.php，关闭了应用调试模式
'app_debug' => false,

感谢龙城的关注，给龙城点赞！

0 赏礼回复

网站没有直接报错，如何查看错误原因，解决方案如下:
https://www.kancloud.cn/php168/x1_of_qibo/1544387

admin 超级管理员 消费:3.03元 2019-07-06 18:32 18:326楼

无关痛痒的.根本算不上的漏洞的. 真正的漏洞, 这般吃国家粮的人,就检查不出来了.

蓝色强 消费:1326.94元 华为 2019-07-06 18:40

没办法，必须要做修补，不然就要关停网站，同时封ip和'80，443端口，龙城支个招呗

笨熊 消费:791.82元 iPhone 2019-07-07 07:07

就因为他们吃国家粮所以技术应该也高起不到哪去吧，技术估计也是买的公司的

1 赏礼回复

网站没有直接报错，如何查看错误原因，解决方案如下:
https://www.kancloud.cn/php168/x1_of_qibo/1544387

admin 超级管理员 消费:3.03元 2019-07-06 21:44 21:446楼

本不是问题的问题.实在很纠结的话,就修改这个文件
\application\common\controller\Base.php
查找
$_SERVER["HTTP_REFERER"]
换成
filtrate($_SERVER["HTTP_REFERER"])

蓝色强 消费:1326.94元 华为 2019-07-06 22:38

谢谢龙城的支持、理解和帮助

admin 消费:3.03元 2019-07-06 21:52

同时修改一下文件
\application\index\controller\Login.php
查找
urlencode($fromurl?:$this->fromurl)
替换为
urlencode(filtrate($fromurl?:$this->fromurl))

蓝色强 消费:1326.94元 2019-07-07 01:36

这两处改了，但是退出登录提示不正常，点击手机登录也不正常，显示页面源代码了...

蓝色强 消费:1326.94元 2019-07-07 01:39

https://www.bhsedu.net.cn/index.php/index/login/phone.html
报错：
                    $this->success('登录成功',$jump);
                }
            }
            if($type=='iframe'){
                $fromurl = url('index').'?type='.$type;
            }
            if(strstr($this->fromurl,'index/login/quit')){
                $this->fromurl = url('index/index/index');
            }
            $this->assign('fromurl',urlencode(filtrate($fromurl?:$this->fromurl));
            $this->assign('type',$type);
            return $this->fetch($type=='iframe'?'iframe':'index');
        }

        /**
         * 手机登录或注册
         */
        public function phone(){
            $url = murl('member/index/index');

https://www.bhsedu.net.cn/index/login/quit.html
报错：

                    $this->success('登录成功',$jump);
                }
            }
            if($type=='iframe'){
                $fromurl = url('index').'?type='.$type;
            }
            if(strstr($this->fromurl,'index/login/quit')){
                $this->fromurl = url('index/index/index');
            }
            $this->assign('fromurl',urlencode(filtrate($fromurl?:$this->fromurl));
            $this->assign('type',$type);
            return $this->fetch($type=='iframe'?'iframe':'index');
        }

        /**
         * 手机登录或注册
         */
        public function phone(){
            $url = murl('member/index/index');

0 赏礼回复

网站没有直接报错，如何查看错误原因，解决方案如下:
https://www.kancloud.cn/php168/x1_of_qibo/1544387

wr1688 风格开发者消费:2593.25元 2019-07-06 19:07 19:07
华为
6楼

这文件看了半天，都围绕pgone这个文件，原因是，提交时的字符串不能全是数字，不知道理解的对不对，真是这样的话，那就关闭手机注册，登录，验证功能

蓝色强 消费:1326.94元 华为 2019-07-06 19:13

手机登录验证注册，我原本就是关闭的！

wr1688 消费:2593.25元 华为 2019-07-06 19:14

把那文件先删掉

蓝色强 消费:1326.94元 华为 2019-07-06 19:17

这个可行，但不知道是否影响网站整体功能，可以先这样应对，但不知道别处是否还有这问题，谢谢提点

蓝色强 消费:1326.94元 华为 2019-07-06 19:24

第一个跨站漏洞脚本怎么修补？？phone. html可以暂时改个后缀

wr1688 消费:2593.25元 华为 2019-07-06 19:27

你在宝塔，嗯，网站设置里面关闭那个跨站

蓝色强 消费:1326.94元 华为 2019-07-06 19:29

我没用宝塔，我是用的龙城的方法，加了防止跨站的设置，在虚拟站点文件上

0 赏礼回复

插件开发，模板开发，vue项目开发，入我圈，每次提问皆有回想

wr1688 风格开发者消费:2593.25元 2019-07-06 19:03 19:03
华为
6楼

可否直接和那些人协商

蓝色强 消费:1326.94元 华为 2019-07-06 19:10

都怕担责，网信网安是监管部门，说不通的！

wr1688 消费:2593.25元 华为 2019-07-06 19:11

理解

0 赏礼回复

插件开发，模板开发，vue项目开发，入我圈，每次提问皆有回想

蓝色强普通粉丝消费:1326.94元 2019-07-06 18:45 18:45
华为
6楼

这个告知书应该是相关部门请网站安全等保测评机构出的，实在扛不过去了，管理的很严

0 赏礼回复

蓝色强普通粉丝消费:1326.94元 2019-07-06 17:30 17:30
华为
6楼

这个站基本上和x1官方站都是同步更新的,大家查一下自己的站是否也有这种漏洞，关键是有没有修补方法？

0 赏礼回复

蓝色强普通粉丝消费:1326.94元 2019-07-06 17:08 17:08
华为
6楼

这三个漏洞是服务器系统漏洞，还是网站代码的漏洞？如果是代码的漏洞，可有修补方法？不然辛辛苦苦搭的站要被关停

0 赏礼回复

银杏114在线实战运营者 消费:3609.79元 2019-07-06 16:39 16:396楼

所谓的网站安全漏洞扫描，一般政府机关、事业单位都搞这个，属意识形态安全工作范畴，政府机关与事业单位的网站会被要求专门的安全管理员，负责网站的安全事务。尤其注重漏洞这块，必须打上补丁，再次经扫描无误后，才会解除。

银杏114在线 消费:3609.79元 2019-07-06 16:43

果不其然，关于教育的网站，华山中学的教育网站，在新疆，那块安全形势更严峻，要求更严格，你有罪受了

蓝色强 消费:1326.94元 华为 2019-07-06 17:06

拜托大家能给出解决方法