Discuz!論壇擁有五年以上的應(yīng)用歷史，是全球成熟度最高、覆蓋率最大的論壇軟件系統(tǒng)之一。然而在其發(fā)布的5.0.0版本中又爆出新隱患，只要在地址欄處輸入一段代碼就會(huì)使論壇報(bào)錯(cuò)并顯示出網(wǎng)站真實(shí)的物理地址!

問題根源??Discuz!論壇中出現(xiàn)缺陷，非法用戶可以通過修改頁面地址獲得論壇文件存儲(chǔ)的真實(shí)物理地址，為入侵探測(cè)做好準(zhǔn)備。（如圖1）

圖1

受影響版本??除了最新的Discuz! 5.0.0外4.0中也會(huì)出現(xiàn)此問題。

解決辦法??需要編輯config.inc.php文件來解決此問題。在config.inc.php里的“$errorreport = 1”處修改這個(gè)設(shè)置為0。然后在php.ini里
“display_errors =”處設(shè)置為Off，最后打開論壇include目錄下的common.inc.php將$extra = isset($extra) && preg_match修改為改成
$extra = isset($extra) && @preg_match。

與此同時(shí)同樣是PHP論壇中佼佼者的PHPWIND也出現(xiàn)了問題，1月21日剛剛進(jìn)行完官網(wǎng)論壇程序升級(jí)的phpwind，在第二天就被黑客組織x.25 Team攻陷，并在頁面上留下:So Funny Bug___just a warning字樣以示警告。（如圖2）

圖2

PHPWIND官方站點(diǎn)也在第一時(shí)間將出問題的頁面進(jìn)行了修改，并關(guān)閉了論壇。到22日上午PHPWIND官方論壇已經(jīng)恢復(fù)。至于究竟是什么漏洞造成本次入侵，PHPWIND沒有發(fā)布任何消息。筆者認(rèn)為他們正在開發(fā)針對(duì)此問題的補(bǔ)丁，新補(bǔ)丁程序會(huì)在最近發(fā)布。

標(biāo)簽： isp 安全 代碼 漏洞 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。