e0398 - 2012/6/21 17:57:00
这套系统使用的FCKeditor 是2.6.6版本,360老检测有漏洞
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
2.可以通过FCKeditor的漏洞上传恶意脚本。
如何解决?
wanght86 - 2012/6/21 19:12:00
首先 把360卸载了
然后再把FCKeditor 目录删除掉就好了啊
e0398 - 2012/6/21 19:18:00
e0398 - 2012/6/21 19:19:00
就连PA主站都是高位漏洞!
xiyou - 2012/6/21 20:23:00
360检测判断方式:只要传递非法参数不报错就提示有漏洞,真正的漏洞不是360能检测出来的。
fckeditor那些常用漏洞全世界都知道,pa在2010年的系统中就已经修复了这些漏洞,如果你认为有漏洞,你自己上传木马试试不就知道了。
e0398 - 2012/6/22 10:47:00
谢谢 楼上,我安心了。
但是还有个问题:
咱们PA建站的360都检测出 “跨站脚本攻击漏洞”并提示存在漏洞的网页地址:
“
http://www.smx.net.cn/index.aspx?type=introduct&lanmuid=44&language=cn&menuid=3"-->;alert(42873);"”
不知道是什么意思。
e0398 - 2012/6/22 10:52:00
xiyou - 2012/6/22 11:14:00
360通过传递<script参数来检测的,如果不过滤就提示有漏洞,实际pa是没有过滤这些参数,只是发现有这些参数就不执行,直接跳转。
e0398 - 2012/6/26 10:56:00
明白了,可以安心了。
dgxyoil - 2012/6/28 8:53:00
:D这样呀,360专门吓唬人的,查一查哪个站都不安全
