Discuz开源论坛_v3,网络安全开发者跳槽必备

于 2024-04-03 16:12:20 发布
阅读量829 收藏 29
点赞数 27
分类专栏: 2024年程序员学习 文章标签: web安全 跳槽 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83621136/article/details/137349400
版权
本文详述了Discuz论坛X3.4版本的漏洞复现过程,通过Burpsuite和Foxyproxy进行数据抓包,展示了如何利用Payload绕过过滤实现恶意代码注入。并提出加固方案,通过在Buildarray()函数中增加数据过滤来防止此类攻击。此外,作者分享了网络安全学习资料,旨在帮助网络安全工程师提升技能。
摘要由CSDN通过智能技术生成

四、Discuz论坛漏洞复现

浏览器访问到127.0.0.1/discuz3.4/utility/convert/index.php,进入X3.4系列升级/转换向导,如图4-1所示。

图4-1  X3.4系列升级/转换向导界面

任意选择一个目标版本进行升级,本设计将X3.4转换为X2.0版本进行测试,如图4-2所示。

图4-2  Discuz! X2.0转换界面

开启Burpsuite软件,并设置为“Intercept is on”,进行页面数据抓捕,如图4-3所示。

图4-3  Burpsuite截断界面

开启浏览器插件Foxyproxy(设置IP为127.0.0.1,端口号8080)为Burpsuite的代理插件,如图4-4所示。

图4-4  开启代理

单击下方保存服务器配置后,来到Burpsuite软件的Repeater重发器中,尝试修改Post数据,即手动介入改变Key的数据。

最低0.47元/天 解锁文章
高手程序员
关注
专栏目录
在linux上搭建discuz开源论坛
朱海燕的博客日记
10-13 971
discuz开源论坛使用的是lamp架构,所有首先需要配置Linux+Apache+mysql+php的环境,在把对应的文件包放到对应的web服务器目录下. [root@discuz ~]# ls Desktop Discuz_X3.2_SC_UTF8.zip lnmp_soft.tar.gz mysql-5.7.17.tar [root@discuz ~]# yum -y ins...
Discuz开源论坛.NET版
09-11
Discuz开源论坛.NET版 非常不错的
开源论坛DiscuzQ 本地安装--保姆教程---kalrry
kalrry
09-13 5148
开源论坛DiscuzQ 本地安装一、安装前准备二、安装PHPstudy和环境配置二级目录三级目录 一、安装前准备 注意:本教程基于Windows系统主机下测试 1、PHPstudy(服务器环境一键部署): 下载地址: PHPstudy. 2、Discuz! Q(论坛源码下载): 下载地址: Discuz! Q. 二、安装PHPstudy和环境配置 1、双击后如图点击开启Apache服务和MySQL数据库服务: 2、进入到PHPstudy的安装目录下的WWW文件,并将下载好的Discuz! Q(论坛源码.z
安装Discuz开源论坛
a757259154的博客
03-02 1072
11、添加mysql普通用户 接着上篇的lamp这篇安装Discuz 配置虚拟主机 1、打开虚拟主机配置 [root@NFS-31 ~]# vim /usr/local/apache2/conf/httpd.conf 452 # Virtual hosts 453 Include conf/extra/httpd-vhosts.conf 2、配置虚拟主机 ...
使用Discuz!开源管理系统搭建论坛
weixin_33816821的博客
08-30 588
首先,还是下载两个大包裹:ESSamp、Discuz!-X2-SC-GBK ESSamp(图示) Discuz!-X2-SC-GBK(图示) 下载好本地环境与Discuz!之后,(建议本地环境使用ESSamp ,Discuz!用X2版本的,个人用得比较习惯。)然后就是本地安装服务器了以及搭建Discuz!论坛管理系统。...
Discuz.Web3.0开源论坛
03-28
Discuz.Web3.0开源论坛 已附加上原开源里没有的WEBSERIVES.DLL的项目文件
Discuz_6.0.0_SC_GBK_AlipayeCommerce_discuz.6.0论坛_Alipay资料_
10-04
这些资料对于开发者或者管理员来说非常宝贵,他们可以借此了解如何配置和使用支付宝接口,以便在论坛上实现安全、便捷的支付功能。 压缩包内的文件列表: 1. "users_guide.htm" - 这很可能是Discuz! 6.0.0的用户...
Discuz_X3.4_简体开源论坛源码
04-16
- **安全性**:内置安全防护机制,包括SQL注入防护、XSS跨站脚本防御等,保障论坛数据安全。 - **多语言支持**:除了简体中文,还支持多种语言,满足国际化的交流需求。 - **移动优化**:适应移动互联网趋势,...
Discuz.net C# 完全开源版本 经典论坛代码
12-31
Discuz! 论坛 C# 完全开源版本。非常强大的C# 经典论坛代码,虽然死在4.0版本以前。但是里面包含各类功能非常完善,包含xml,rss,ftp,config,sql,存储过程等等。c# 学习开必备
零起步教你搭建DISCUZ!论坛
03-31
discuz 搭建论坛 apache mysql php 有需要这些工具的 留言给我
discuz论坛开源
10-21
discuz论坛开源使用比较广泛的论坛代码。
yolov3源代码
12-03
基于keras的yolov3物体检测源码,可以直接运行使用,用于物体的定位识别。
利用discuz开源论坛和nat123搭建并发布论坛网站
u013710596的专栏
02-19 831
搭建论坛并发布到互联网可以很简单。discuz是目前使用最多的一个开源论坛,nat123是发布网站、访问内网应用的开放平台。使用它们可以快速搭建发布网站到互联网。Discuz论坛搭建安装教程,及利用nat123端口映射发布网站,实现过程步骤如下。 1.      安装部署discuz论坛网站。 discuz论坛安装过程相对简单,浏览器中文安装向导提示下一步,至完成安装。 2.      测试
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
最新发布
weixin_60708754的博客
05-15 4557
Discuz v3.4系列 远程代码执行漏洞全流程详解
利用云服务器部署论坛网站系统discuz
weixin_60197334的博客
03-27 2458
利用云服务器部署论坛网站系统discuz!
Discuz X 3.4 系列漏洞梳理
热门推荐
weixin_50464560的博客
04-05 2万+
分析了目前已经公开的Dz3.4系列漏洞,作为学习和记录。 Discuz!X ≤3.4 任意文件删除漏洞 1、简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 2、复现环境 因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。 git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be 通过安装向导安装完.
部署mysql自动生成的库_Discuz开源论坛本地部署自动生成数据库
weixin_39814088的博客
01-20 111
这个版本可能比较有点老,但是万变不离其宗,再新的版本都是在已有的基础上更新的,所以掌握方法是最重要的!先上几张安装成功后的图(安装成功的论坛首页)(后台管理登录页)下面说一下安装步骤第一步:在E盘新建一个文件夹命名为:Discuz。注意:我这里就随便放在E盘了,你们自己看着。第二步:将dnt_3.1.0_sqlserver文件夹下的upload_files文件复制的Discuz文件夹下,并把upl...
突破传统:Linux下如何架设BT服务器
weixin_34194551的博客
11-03 459
传统的文件下载服务都是基于客户机/服务器模型,被下载的文件放在服务器上,用户登录服务器,将该文件下载到本地。在文件下载的过程中,被传输文件的来源和目的端并不对等,服务器只是单向地将文件传送给客户端。 这种传统软件下载模式的缺点是显而易见的,整个系统的瓶颈位于服务器。由于受到服务器处理能力、互联网接入链路带宽等多种环境的制约,当下载量非常大时,服务器往往不堪重...
Discuz_X2.0 数据结构详解
"Discuz_X2.0数据字典包含了Discuz! X2.0这个开源社区论坛系统的数据库表格结构和用途。这些表格主要用于存储和管理论坛的各种数据,如用户信息、管理组设置、广告、缓存、积分规则、计划任务等。通过了解这些表格的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值