10秒后自動(dòng)關(guān)閉
SeaCMS(海洋CMS)跨站腳本漏洞(CNVD-2024-39583、CVE-2024-44683)

SeaCMS(海洋CMS)是一款開(kāi)源免費(fèi)PHP影視系統(tǒng),該系統(tǒng)主要用來(lái)管理視頻點(diǎn)播資源,因其功能強(qiáng)大,操作使用簡(jiǎn)單,擁有大量用戶。


國(guó)家信息安全漏洞共享平臺(tái)于2024-09-29公布其存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2024-39583、CVE-2024-44683

影響產(chǎn)品:SeaCMS(海洋CMS) 13.0

漏洞級(jí)別

公布時(shí)間:2024-09-29

漏洞描述:SeaCMS v13版本存在跨站腳本攻擊漏洞,該漏洞源于 admin-video.php 文件存在漏洞。黑客可利用該漏洞對(duì)網(wǎng)站發(fā)起xss攻擊,以獲得系統(tǒng)或文件中的其他信息。


解決辦法:

首先這個(gè)文件是后臺(tái)管理文件,我們可以從物理層面限定:只允許合法管理員進(jìn)入后臺(tái);同時(shí)還可以:禁止任何人提交腳本內(nèi)容到服務(wù)器。這樣就可以解決問(wèn)題了。

因此我們需要用到『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺(tái)保護(hù)”和“SQL注入防護(hù)”來(lái)解決。


1、網(wǎng)站后臺(tái)保護(hù)

如下圖一,對(duì)后臺(tái)(/admin/)進(jìn)行保護(hù),后期訪問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問(wèn)。


網(wǎng)站后臺(tái)保護(hù).png

(圖一:網(wǎng)站后臺(tái)保護(hù)設(shè)置)




網(wǎng)站后臺(tái)保護(hù).png

(圖二:訪問(wèn)后臺(tái)需要輸入授權(quán)密碼)



2、xss跨站腳本攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖三)也可以攔截xss跨站腳本,原理很簡(jiǎn)單,攔截“script”標(biāo)簽即可(如圖四),攔截效果如圖五。


SQL注入防護(hù)模塊.png

(圖三:SQL注入防護(hù)模塊)


xss攻擊防護(hù).png

(圖四:xss攻擊防護(hù))



SQL注入攔截效果.png

(圖五:SQL注入攔截效果)