0x01前言

前段时间分析了一下typecho的xss漏洞,为了一劳永逸这里来加固一下

typecho<1.2.0存储xss漏洞复现+审计+修复

评论位置的xss请参考这个文章0x01搭建这里测试的版本是1.1.17.10.30(17.10.30),最新版本1...

0x02 设置httponly

首先在config.inc.php里面加上httponly防止xss获取cookie

/** 设置 httponly **/
ini_set('session.cookie_httponly', 1);

0x03 后台ip判断

在来加上后台ip判断,来判断操作的人跟登入时候的ip是否一样防止获取到cookie后利用

首先在/var/Widget/Login.php里面设置登入成功的ip

session_start();
$_SESSION['LoginIp']=$_SERVER['REMOTE_ADDR'];

59375-7j92rt0miek.png

然后再/admin/common.php里面写上判断ip是否跟登入时候的一样

/** 判断登入情况下ip是否正确 **/
if($user->hasLogin()){
    session_start();
    if($_SESSION['LoginIp']!==$_SERVER['REMOTE_ADDR'] || $_SESSION['LoginIp']==''){
        header('Location:/');
        exit;
    }
}

39564-g5khky23kp7.png

Last modification:December 6, 2022
© Allow specification reprint
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/695.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 法律说明:
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。非文学作品,请勿过度理解,根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途。
如果觉得我的文章对你有用,请随意赞赏,可备注留下ID方便感谢