magento < 1.9 xss 漏洞修复说明

magento XSS漏洞 介绍就不说了    百度一下  到处都是

这边简单记录下 处理过程, (比较粗暴,是否有效尚未验证)

编辑

app/design/adminhtml/default/default/template/sales/order/view/info.phtml

文件

搜索 getCustomerEmail

有两处  输出调用

使用  htmlentities 方法过滤处理  即可    如下:

<td class="value">
    <a href="mailto:<?php echo htmlentities($_order->getCustomerEmail()); ?>">
    <strong>
        <?php echo htmlentities($_order->getCustomerEmail()); ?>
    </strong>
    </a>
</td>

PS:  主要是云ECS 老提示安全问题, 如此处理后  烦人的提示就没了,至于是否有效可用,有需要的可以验证下  ,如有不对  欢迎拍砖 :)

时间: 2024-10-07 11:56:09

magento < 1.9 xss 漏洞修复说明的相关文章

asp.net初级 Web原则 xss漏洞

1.XSS (Cross-Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的, 比如获取用户的Cookie,导航到恶意网站,携带木马等. 2.     Dom-Based XSS漏洞       威胁用户个体 Stored XSS(存储式XSS漏洞)    威胁的将是大量的用户 3.asp中默认对请求对象的数据进行了校验,如果数据中含有潜在

dedecms5.7最新漏洞修复

最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重性,在这里发一下解决办法,也希望采用织梦cms的童鞋,尽快升级补丁. 1.修复:[高危]DedeCMS最新SQL注入漏洞 修复方法:1)下载补丁:http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130607.zip 2

JSONP存在的JSON Hijacking漏洞以及与csrf/xss漏洞的关系

在实习过程中接触过所谓的JSON Hijacking 漏洞,但最近在写论文时发现理解得不深,好像跟xss与csrf又有点区别与联系,索性深入学习了下 JSONP. 下面一段话截取自:http://stackoverflow.com/questions/2067472/what-is-jsonp-all-about   仔细看看就比较清晰了. Say you're on domain abc.com, and you want to make a request to domain xyz.com

BruteXSS:Xss漏洞扫描脚本

今天给大家进行汉化改进的是一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷. 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句. 0×01简介 简单的介绍一下这个工具吧:BruteXSS是一个非常强大和快速的跨站点脚本暴力注入.它用于暴力注入一个参数.该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞.得益于非常强大的扫描功能.在执行任务时, BruteXSS是非常准确而且极少误报

利用窗口引用漏洞和XSS漏洞实现浏览器劫持

==Ph4nt0m Security Team==                        Issue 0x03, Phile #0x05 of 0x07 |=---------------------------------------------------------------------------=||=---------------=[ 利用窗口引用漏洞和XSS漏洞实现浏览器劫持 ]=---------------=||=---------------------------

我是如何黑盒测试XSS漏洞的?

在挖掘SRC中,很多人挖洞都是挖掘的XSS漏洞,随着Web安全的普及,人类越来越注重自身网站的安全. 来一篇简单的黑盒测试XSS漏洞的一点方法和个人的一些见解 一般测试XSS漏洞,一般是简单测试下,而不是直接深层次的绕过代码直接去碰,测试XSS常规的XSS测试语句是: "><img/src/onerror=alert(1)> 屡试不爽 先讲一个简单的,在测试XSS漏洞的时候,当我们使用这个语句的时候,一般浏览器/网站自身都有过滤和防护 所以很无奈,这种payload遇到大型网站

网站漏洞修复整体网站安全检测方案

在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏洞,远程包含文件漏洞. 有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的

ecshop网站漏洞如何修复针对于外贸网站的漏洞修复

由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,从百度,谷歌,360,以及搜狗等等进入到网站的用户直接被跳转到了一些赌bo网站上去,而且网站在各大引擎的收录的快照中的标题被篡改城一些与网站不相关的内容,如图:而且网站直接被百度网址安全中心给拦截了,还有一些客户用ecshop做的购物平台是一些产品上的交易,***通过最新的网站通杀漏洞提权拿到了网站所有权

【漏洞复现】WordPress插件Quizlord 2.0 XSS漏洞复现与分析

年后趁着需要做安全测试系统不多的这个空档,学学python到处逛逛复现复现和分析一些简单的漏洞 0x00 复现环境 phpstudy wordpress 4.4版本 貌似WordPress爆出漏洞的通常基本大多都是它的插件存在安全问题. 0x01步骤 使用phpstudy搭建环境,搭建wordpress,然后登陆进后台去下载Quizlord插件,版本为2.0一切就绪后就开始看怎么触发的XSS了 3) At the title type: poc"><script>alert(1