Discuz安全:存储型XSS脚本漏洞确认 影响所有Discuz版本
该漏洞6月23日在网上公开并得到discuz官方确认,可影响Discuz几乎所有版本,从目前还比较流行的Discuz 6.0到最新的Discuz X2都存在这一漏洞。
今天有官方团队在论坛放出过修补教程,但目前该帖设置访问权限限制,以下是百度快照中保存的修改方案,仅大家参考。disuczcode 函数存在解析漏洞, 用户可以直接在帖子或者使用discuz代码的地方输入 XSS 攻击代码从而威胁浏览者的安全
修补方案:
Discuz!X 系列程序
修改文件 source/function/function_discuzcode.php
Discuz 6-7.2程序
修改文件 include/discuzcode.func.php
修改方法:
1. 查找代码:function parseemail($email, $text) {
2.在上面的这行代码下方添加一行$text = str_replace('\"', '"', $text);
修改完就可以解决这个问题。
Discuz安全:遗留uctools.php引发安全问题 专门扫描工具现世
uctools.php是Discuz官方发布tools工具箱ucenter专版的文件,该工具功能如下:检查或修复数据库
快速设置(SQL)
恢复数据库备份
重置创始人密码
该工具要求置于站点根目录,虽然有设置密码功能,但是很多站长使用这个工具时都没有修改密码,如果一直没有删除这个文件话,将带来严重的安全隐患。
据传,最近有人通过自动扫描程序,专门寻找此类站点,导致大批网站被挂马。
不管大批网站被挂马是不是属实,遗留uctools.php带来的安全隐患是显而易见的,最好直接删除此工具,需要使用再上传。
Discuz!下载
软件大小:8.13MB
软件类别:国产软件 | 社区论坛
软件语言:简体中文
运行环境:PHP/Mysql
软件授权:免费版
更新时间:2012-6-29 9:46:57
软件大小:3.60MB
软件类别:国产软件 | 社区论坛
软件语言:简体中文
运行环境:PHP/Mysql
软件授权:免费版
更新时间:2010-10-21 11:04:12