360推出站长平台，用360检查了一下，发现了一个高危漏洞，反馈一下 - WeCenter 社交化知识问答社区程序

该问题已被锁定！

7: 关注

2592: 浏览

360推出站长平台，用360检查了一下，发现了一个高危漏洞，反馈一下

安全

漏洞名称: HTTP响应拆分漏洞漏洞风险:

]存在 "网站用户资料泄露" 风险[/

]安全性降低40%[/

]全国 2% 网站有此漏洞, 31个站长进行了讨论[/

检测时间: 2013-02-19 19:01:19 漏洞证据: 漏洞地址: http://www.simiqa.com:80/topic/542?rf=%0d%0a%20SomeCustomInjectedHeader%3Ainjected_by_wvs 解决方案: 方案1. 限制用户输入的CR和LF，或者对CR和LF字符正确编码后再输出，以防止注入自定义HTTP头。方案2. 查看：小议网站HTTP响应拆分漏洞（感谢站长 vfhky 提供以上解决方案）

好问题 0 评论收藏举报

AI智能回复搜索中，请稍后...

查看全部 6 个回答

kimwang 初级会员用户来自于: 广东省佛山市
2013-02-20 14:45

上一下他们论坛，360疲软了，被人识穿了比较单纯地用文件名/参数来判断是否有漏洞，而大家知道，360那边，只要有1-2个比较公认的危险级别高的漏洞，评分就会一蹋糊涂，重点是他会把网站安全评分挂在搜索页面供用户参考，SO……

赞同 0 2评论

关于作者

: platoer 初级会员
这家伙很懒，还没有设置简介

346: 回答

1: 文章

264: 问题

问题动态

发布时间: 2013-02-19 23:56

更新时间: 2013-02-20 22:44

关注人数: 7 人关注

相关问题

不懂PHP，不会CSS，遇到个问题哪位大侠帮看一下吧。: 1962 浏览 2 关注 1 回答 0 评论

我发现WC的问题收录真的有问题，刚刚复制了10几个问题到百度中搜了一下，发现都没有收录！: 3050 浏览 5 关注 5 回答 0 评论

我想问一下访问手机版的域名是什么: 2043 浏览 2 关注 2 回答 0 评论

建议一下，首页的程序最新日期最好和实际同步: 1595 浏览 2 关注 1 回答 0 评论

大家好我用这个程序做一个站点请问一下顶部版权怎么修改: 3239 浏览 4 关注 3 回答 0 评论

最近在1.1基础上做一个仿照知乎的模版，把遇到的bug反馈一下!: 2551 浏览 5 关注 2 回答 2 评论

测试微信帐号绑定，在个人设置页面点击绑定，发送对应的内容到公共平台，既可绑定微信帐号。: 3615 浏览 8 关注 3 回答 0 评论

请问三级话题有计划推出吗？或者谁会开发: 2629 浏览 4 关注 3 回答 0 评论

我有一个想法，类似于知道开放平台，我们所有的anwsion站点都联合起来，共享问题、回答！: 4198 浏览 5 关注 3 回答 0 评论

第一个将anwsion部署到新浪 SAE 平台的应用: 3643 浏览 10 关注 5 回答 0 评论

推荐内容

问【紧急】网站有漏洞: 2365 浏览 4 关注 2 回答 0 评论

问 wecenter 被攻击了还是人工发的垃圾信息: 3413 浏览 4 关注 3 回答 0 评论

问 Anwsion建站程序注入漏洞的问题，: 3134 浏览 5 关注 3 回答 0 评论

问关于网站目录读写权限设置问题: 2677 浏览 5 关注 1 回答 0 评论

问第三方登陆安全问题，官方看看: 2693 浏览 3 关注 1 回答 1 评论

问脚本提交到后台不是会过滤的么，怎么还会因为没有post_hash而被攻击类？: 2752 浏览 3 关注 1 回答 0 评论

问用安全宝，提示注入及XSS跨站警告，这类东西要不要跟进。: 2008 浏览 3 关注 2 回答 0 评论

问为什么邮件未验证用户可以发表垃圾评论？: 2152 浏览 1 关注 0 回答 0 评论

问 360网站安全检测报告login.php有严重漏洞，是否需要理会？: 2784 浏览 4 关注 3 回答 1 评论

问 wecenter整体目录权限是如何设置的: 2172 浏览 1 关注 0 回答 0 评论

All Rights Reserved Powered BY WeCenter V4.1.0 © 2025 皖公网安备 34019202000400号