Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

技术角度解决本次问题的建议-js是很危险滴改xml吧

[复制链接]
sjf122 发表于 2009-1-8 15:56:44 | 显示全部楼层 |阅读模式
本帖最后由 sjf122 于 2009-1-8 16:03 编辑

discuz登陆后台后
会运行一个类似
<script language="JavaScript" src="http://customer.discuz.net/news.php?update=dW5pcXVlaWQ9SUxVSnIzMjAyOEJnYnR4NyZ2ZXJzaW9uPTcuMC4wJnJlbGVhc2U9MjAwODEwMzEmcGhwPTUuMi4zJm15c3FsPTUuMC42Ny1jb21tdW5pdHkmY2hhcnNldD1nYmsmYmJuYW1lPURpc2N1eiUyMSUyMEJvYXJkJm1hc3Rlcm1vYmlsZT0m&md5hash=3efe09e5×tamp=1231399339"></script>
的js程序
假如域名被劫持的情况发生后,可以将此url运行后输出的内容改为类似
<script language="javascript">
<!--
window.location="admincp.php?action=settings&operation=seo&settingsnew[seohead]='<script language="javascript">document.write('hello world');</script>'";
// -->
</script>
由于用户是使用管理员登陆的,所以有全部的权限,可以直接写进数据库,
所以此时就发生了页面被黑现象,类似情况还是可以再次发生的,建议discuz将用户程序和服务器程序的通信改为php程序内直接用xml通信,放弃使用js直接输出的办法,这样才能根本上杜绝此类事件的再次发生

评分

1

查看全部评分

madongdong 发表于 2009-1-8 15:58:43 | 显示全部楼层
好贴 强烈要求取消dz对个人论坛的这个修改权限
回复

使用道具 举报

 楼主| sjf122 发表于 2009-1-8 16:07:03 | 显示全部楼层
木有人理?
回复

使用道具 举报

long3353416 发表于 2009-1-8 16:09:36 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

loosen 发表于 2009-1-8 16:15:02 | 显示全部楼层
的确很危险
回复

使用道具 举报

abcnic1 发表于 2009-1-8 16:15:33 | 显示全部楼层
不做评论 :)
回复

使用道具 举报

chenweili 发表于 2009-1-8 16:15:35 | 显示全部楼层
回复

使用道具 举报

 楼主| sjf122 发表于 2009-1-8 16:22:31 | 显示全部楼层
其实归根到底还是程序的安全性问题,换句话说是程序设计的问题
回复

使用道具 举报

cjwwjf 发表于 2009-1-8 16:30:07 | 显示全部楼层
有道理~~~
回复

使用道具 举报

童虎 发表于 2009-1-8 16:41:28 | 显示全部楼层
能具体说说吗?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-15 16:44 , Processed in 0.035639 second(s), 9 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表