网站6.5版本、网站7.0版本各部署升级资料

由于网站6.5版本近期各地收到一些漏洞报告及客户使用时部分栏目及后台功能遇到问题。故我们出了一版网站6.5safe版本，其中修复并处理了以下问题：

V6.5.0版本至V6.5.0safe版更新内容如下：
-------------------------------------------------------------------------------------------

1.对信息查询导入问题进行了修复和完善。
2.对广告浮动脚本的兼容性问题进行了修正。
3.修复了因配置了单点登录产生的跨站攻击漏洞。
4.修复了修饰栏目在新闻页中无法控制字数长度的问题。
5.修复了搜索栏目在更多页模板中被修饰栏目调用时而导致搜索失效的问题。
6.对登录时的密码进行了加密处理。
7.修正了待审功能脚本语句在数据库不同版本中的兼容问题。
8.对系统频道页模板恢复按钮增加操作弹出提示。
9.修改增强了自定义表单的多选框功能。
10.对主题讨论栏目增加了通用敏感词库的验证功能。
11.修复了发文时审核通过的情况下默认审核人为空的问题。
12.修改了在设计控制后台注册用户时登录状态默认为允许登录。
13.修复布局更改导致用户组授权出错的bug。
14.修改图片空间初始化加载目录为当前年月文件夹。
15.修正自定义表单系统默认样式。
16.修复登录页面上通过验证码输入框的MongoDB NoSQL 注入漏洞
17.增加登录页面验证码位数限制。
18.修复导航制作页面、模板预览页面用户未验证登录的问题。
19.修复更多页引擎页面menuid参数错误导致500错误的漏洞。
20.修复上传垃圾文件删除物理路径错误的问题。
21.修复最近发布的updatetime不明确问题。
22.修复了设计控制后台的更多页模板中的“更多栏目”控件因为路径(Wpedt)错误导致无法加载“菜单模板”。
23.修正参数过滤、Menuid错误、跨站脚本攻击、参数错误低危漏洞等安全漏洞。
24.修正Word导入不支持图文类型的bug。
25.修正查询结果中链接标题失效的问题。修正留言本安全问题。
26.修改6.5支持导入docx格式的文档。
27.江北教育网，管理列表上增加来源查询条件。
28.增加用户登录验证、增加验证码位数验证。
29.修改垃圾文件路径错误问题。
30.广告添加不需要记录审核人。ad表中没有审核人字段。
31.修改图片空间初始化加载目录为当前年月文件夹。
32.修正自定义表单系统默认样式。
33.修复默认审核人。
34.江北文章汇总栏目修改。
35.增加了栏目权限表的清理：template,Privilege,templatePrivilege 三个表，对templateId为74-79的6个栏目，进行了数据重塑，确保没有用户组栏目授权那个bug！

    V6.5.0安全版（201803）后续修复内容如下：
        -------------------------------------------------------------------------------------------
        1、[高危]修复xss攻击:messageboard,itemreview,discussreview,search去掉js返回的location.href跳转脚本；
        2、[低危]整数溢出500错误：try非法值，如1999999999999，有moreinfo, resear,webresearResultpole,webresearvote等；
        3、[低危]修改密码框的autocomplete=off：userinfo,reg,messageboard,itemreviw,login.ascx,loginhorizonal.ascx；
        4、[低危]web.config增加2个响应标头：<add name="X-XSS-Protection" value="1; mode=block" />
        <add name="X-Content-Type-Options" value="nosniff" />；
        5、[低危]viewstate加密，设置EnableViewStateMac=true：3个生成引擎
        6、[参考]ip地址泄露，去掉了前台的页面的绝对路径：去掉pathprefix
        7、[参考]修改cookie加httponly,有verify.aspx,WebResearVote.aspx,resear.aspx；
        8、[参考]email泄露，@改为#，<luolonghao#gmail.com>；

注：已经是V6.5版本的网站，直接使用网站6.5safe补丁包即可修复bug与漏洞；如果是V6.5以前的低版本发现漏洞与bug，请按情况使用网站6.5safe自动升级包或者网站6.5safe手动升级包。

网站6.5safe手动升级包详见附件：V6.1到6.5safe手动升级包20180302

由于网站早期7.0的安装包、升级包发现了一些bug；请务必不要再使用各位手头上的包，更换为下方提供的最新版本。

2018.03对V7.0标准版做了安全加固，修复内容如下：
        1、[高危]修复xss攻击:messageboard,itemreview,discussreview,search去掉js返回的location.href跳转脚本；
        2、[低危]整数溢出500错误：try非法值，如1999999999999，有moreinfo, resear,webresearResultpole,webresearvote等；
        3、[低危]修改密码框的autocomplete=off：userinfo,reg,messageboard,itemreviw,login.ascx,loginhorizonal.ascx；
        4、[低危]web.config增加2个响应标头：<add name="X-XSS-Protection" value="1; mode=block" />
        <add name="X-Content-Type-Options" value="nosniff" />；
        5、[低危]viewstate加密，设置EnableViewStateMac=true：3个生成引擎、wpet下所有页、Error.aspx页；
        6、[参考]ip地址泄露，去掉了前台的页面的绝对路径：去掉pathprefix
        7、[参考]修改cookie加httponly,有verify.aspx,WebResearVote.aspx,resear.aspx；
        8、[参考]email泄露，@改为#，<luolonghao#gmail.com>；
        9、7.0版删除：retake.aspx、reg.aspx,regLicense.aspx以及
        10、7.0删除/Js/文件夹下的newsCalendar.js、 删除/Module/文件夹下的newsCalendar.ascx以及 删除/Service/文件夹下的CanlendarService.asmx

注：已经是V7.0版本的网站，直接使用网站7.0补丁包修复即可。网站从低版本升级到v7.0版本后，请清理网站目录文件（清理敏感词目录）；网站目录清理内容说明详见链接：wpcms.zdsoft.net/newsInfo.aspx?pkId=285 。