discuz漏洞crossdomain.xml配置不当修复方法,只需要打开根目录,找到crossdomain.xml文件,打开,出现如下内容:
<?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain=”*” /> </cross-domain-policy>
把<allow-access-from domain=”*” />换成<allow-access-from domain=”*.你的域名.com” />即可。
在用discuz发现 ‘/根目录/crossdomain.xml 存在为 * 的 allow-access-from 域名配置;’问题。
漏洞类型为Web-CMS漏洞。
描述:
不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。
漏洞文件路径: 域名/include/request.class.php.
入侵文件为/data/log/202201_errorlog.php
