【摘要】今天群里有位博友发了一篇《XSS一键getshell》，当时就感觉有点紧张...后面交谈是因为投稿功能存在存储性XSS，因为emlog自带编辑器的low~b所以简单修改一下，关闭EMLOG默认的会员中心！这个方法虽然非常简单，但是非常有效！...

今天群里有位博友发了一篇《XSS一键getshell》，当时就感觉有点紧张...

后面交谈是因为投稿功能存在存储性XSS，因为emlog自带编辑器的low~b

所以简单修改一下，关闭EMLOG默认的会员中心！

这个方法虽然非常简单，但是非常有效！

看操作：

    第一步：找到admin/views/header.php文件，使用notepad++打开如图

    第二步：如图添加如下代码，保存上传替换即可！

if (ROLE != ROLE_ADMIN){header("Location: ../?user&posts");exit;}

    此方法针对EMLOG琉璃主题，其他带有开放会员注册功能的模版，可使用如下代码：

if (ROLE != ROLE_ADMIN){header("Location: ../");exit;}

    这样就直接关闭了后台的会员中心，除了管理员能够正常进入以外，其他任何访客都会自动跳转到琉璃主题6.3的会员中心或首页！

    后续小东会更新更多的安全防护文章，一起让我们的网站更加安全！

 小东
 简介：专业团队网站开发、安全运维，合作意向请联系！