|
一坛一世界~ 基地副总
 
基地首席菜鸟大队长 
|
1#
大 中
小 发表于 2009-12-25 03:06 只看该作者
转:一个discuzz论坛程序的后门
http://www.sunboyu.cn/2009/12/10/discuz-hole.shtml
也不算很严重的,但是会把管理员的IP给上传给服务器去,
使用开源产品,的确能加快我们的产品实现进度,我们也感谢那些提供免费开源产品的人。当然,我个人也喜欢开源技术。
但如果开源的产品中给你下个后门,抓取你的数据,你还能高兴么?
现在分析 discuz 7.0 的几段代码:
1. if($adminid == 1 && $action == 'home') {
2. echo '<sc '.'ript language="Jav'.'aScript" src="ht'.'tp:/'.'/cus'.'tome'.'r.disc'.'uz.n'.'et/n'.'ews'.'.p'.'hp?'.bbsinformation().'">';
3. //echo '</sc><sc '.'ript language="Jav'.'aScript" src="http://localhost/com/n'.'ews'.'.p'.'hp?'.bbsinformation().'">';
4. }
5. </sc>
管理员每上一次,就给服务器提交一次.提交的信息,无非论坛的一些统计信息,只是在提交时,连接的IP会被康盛服务器也给记录.
当然,不在大陆就不用担心.或许偶想多了
|
