Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[已答复] 【 紧急!】 SupeSite7.0漏洞及补丁程序!

[复制链接]
ssjjvv 发表于 2009-11-10 14:00:30 | 显示全部楼层 |阅读模式
本帖最后由 ssjjvv 于 2009-11-12 15:43 编辑

此贴绝对原创,属bug第一发现人。并经官方确认和置顶,请放心修复漏洞。


前言:
听说通过找bug,解答别人的疑问,发表教程文章。这样就会有人加分给我。
因此,我特向官方反馈一个bug,此bug是自己在八月底测试程序时发现的,绝对原创,属bug第一发现人。并且在第一时间向官方反馈过。(原贴子:https://discuz.dismall.com/thread-1399948-1-1.html)现在公布bug及修复方法,希望有人给我加分啊!

警告:
我特别提醒还没有升级到SS7.5的朋友(说明:ss7.5还没有测试,等补丁完善后,我们会一步一步地测试),请注意ss7.0中这个很大的bug!!
因为任何人都可以修改您网站的内容!!更别说放一点加载木马之类的东东啦。。。。

bug危害状况:
任何人可以修改别人的文章,这意味着,您可以在别人网站上添加任意内容!反之,任何人都可以修改您网站的内容!!更别说放一点加载木马之类的东东啦。。。。

网站“入侵”方法:
1、注册一个会员,并登录后台
2、找到一篇您需要“入侵”的文章,记住该文章的ID号,ID号即为文章的itemid号
3、在浏览器地址栏中输入:http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧,您就任意地改吧!任意的添加吧!

解决办法共2种:
1、关闭网站自动审核的功能,可防止被恶意修改后的文章在前台显示出来。但仍然无法阻止文章被他人恶意修改,且无法恢复。此方法不用修改任何源码。
2、修改admin/admin_spacenews.php的代码,此方法可以禁止别人的入侵。
首先找到:
  1. if($thevalue) {
复制代码
在核心块中添加一段判断代码,修改后变成:
  1. if($thevalue) {
  2. if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
  3. showmessage('submit_invalid_error');
  4. }
复制代码
为了方便,免费提供补丁文件下载:
SupeSite7.0_SC_GBK版:
SupeSite7.0_SC_UTF8版:

特别声明:
因为公开了bug及入侵的方法,请朋友相互提醒一下,并注意下自己的网站,免得被人恶意破坏!

希望管理员能给我加分,希望大家能够支持我,谢谢!
我的站点:http://www.dongshihui.com




官方的建议:
遇到此bug的站长,请于明后两天将程序升级到7.5版本。
下载地址:https://download.discuz.vip/SupeSite/7.5/
补丁包地址:https://discuz.dismall.com/thread-1460202-1-1.html

评分

5

查看全部评分

lidq.jingwu 发表于 2009-11-10 14:15:40 | 显示全部楼层
多谢你提供的补丁。
回复

使用道具 举报

wcl2222 发表于 2009-11-10 14:22:09 | 显示全部楼层
沙发都表态,看来是真的,先谢了!
回复

使用道具 举报

thinkfor 发表于 2009-11-10 14:26:11 | 显示全部楼层
果然可以。。。。。。
无语。。。。。。。。
回复

使用道具 举报

bugx 发表于 2009-11-10 14:39:52 | 显示全部楼层
呃。。。。。。。没做权限设置啊
回复

使用道具 举报

理红轩 发表于 2009-11-10 14:42:20 | 显示全部楼层
对不起,您没有权限进行本管理操作
7.5
回复

使用道具 举报

有事网 发表于 2009-11-10 15:01:06 | 显示全部楼层
对不起,您没有权限进行本管理操作
7.5
理红轩 发表于 2009-11-10 14:42



   TMD那么严重的错误啊,靠,恐怖。你要先随便注册个ID,然后输入上面的地址就可以修改了。
回复

使用道具 举报

百联科技 发表于 2009-11-10 15:01:45 | 显示全部楼层
非常牛X呀。赶紧着改一下
回复

使用道具 举报

有事网 发表于 2009-11-10 15:02:07 | 显示全部楼层
多谢你提供的补丁。
lidq.jingwu 发表于 2009-11-10 14:15



    无语了啊。老大,催催疯子老鼠加把劲。
回复

使用道具 举报

百联科技 发表于 2009-11-10 15:02:16 | 显示全部楼层
正在用楼主提供的方法进行自己网站的入侵,看一下是否能成功。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-24 10:25 , Processed in 0.025485 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表