Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

技术篇(一):通过修改代码来解决网站内容被恶意修改的问题

[复制链接]
ssjjvv 发表于 2009-11-16 22:57:38 | 显示全部楼层 |阅读模式
本帖最后由 ssjjvv 于 2009-11-16 23:32 编辑


前言:

大家好,看到官方举办这么有意义的活动,作为康盛fans的我,感到由衷的高兴。希望能将自己所学的那么一点点,通过这个平台与大家共同分享,祝愿康盛的明天更加辉煌,SupeSite早日成为CMS的霸主。
首先,我来发表一篇《技术篇(一):通过修改代码来解决网站内容被恶意修改的问题》。接下来,我会陆续写一些与产品程序开发相关的文章,希望大家能够支持我,谢谢!

漏洞:
在SupeSite7.0中,存在一个漏洞,该漏洞可能导致任何人可以修改别人的文章,这意味着,您可以在别人网站上添加任意内容!反之,任何人都可以修改您网站的内容。

测试方法:
如何测试这个存在于SupeSite7.0中的漏洞,请按如下步骤操作
1、注册一个会员,并登录后台
2、找到一篇您需要“入侵”的文章,记住该文章的ID号,ID号即为文章的itemid号
3、在浏览器地址栏中输入:http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧,您就任意地改吧!任意的添加吧!

解决方法:
解决方法有两种,推荐使用第2种,因为比较彻底。
1、关闭网站自动审核的功能,可防止被恶意修改后的文章在前台显示出来。但仍然无法阻止文章被他人恶意修改,且无法恢复。此方法不用修改官方任何源码。
2、修改admin/admin_spacenews.php的代码,此方法可以完全禁止别人的恶意修改。
首先找到:
  1. if($thevalue) {
复制代码
在核心块中添加一段判断代码,修改后变成:
  1. if($thevalue) {
  2. if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
  3. showmessage('submit_invalid_error');
  4. }
复制代码
补丁文件:



声明:
因为此教程公开了漏洞及"入侵"的方法,请朋友们相互提醒一下,尽早升级至官方发布的SupeSite7.5正式版,如果您仍然在使用旧版,请按上述方法检查并修复,确保自己的网站安全。此前我已经发布相关贴子提供了解决的办法,截止目前为止,浏览量已达2800次,补丁下载量共计200多次。


作者ID号:ssjjvv
网 站:http://www.dongshihui.com
时 间:2009年11月16日

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

评分

2

查看全部评分

Gnagno 发表于 2009-11-16 23:20:42 | 显示全部楼层
前来围观1下
回复

使用道具 举报

liqitao 发表于 2009-11-16 23:49:27 | 显示全部楼层
支持.................
回复

使用道具 举报

easyker 发表于 2009-11-17 00:40:08 | 显示全部楼层
本帖最后由 easyker 于 2009-11-17 00:41 编辑

假老虎?
www.quanfo.com 圈否网
www.yiker.net 易客互联
回复

使用道具 举报

benba 发表于 2009-11-17 09:06:21 | 显示全部楼层
支持一下BUG 存在 但希望楼主在这里只出补丁 不要把BUG 公布了!!
回复

使用道具 举报

ysagrrrr1988 发表于 2009-11-17 10:11:09 | 显示全部楼层
很好阿。。。。。。。。。
回复

使用道具 举报

李霞云 发表于 2009-11-17 10:11:37 | 显示全部楼层
支持下楼主。。
回复

使用道具 举报

cnovl 发表于 2009-11-17 10:36:46 | 显示全部楼层
落伍MJJ过来围观一下
回复

使用道具 举报

someonline 发表于 2009-11-17 10:39:14 | 显示全部楼层
支持楼主,很好啊
回复

使用道具 举报

graymud 发表于 2009-11-17 11:18:04 | 显示全部楼层
围观之中!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-24 03:44 , Processed in 0.023335 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表