Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

请注意,房产代码有后门,官方如果要删帖,请说明理由

 关闭 [复制链接]
badlucky 发表于 2010-11-24 14:47:22 | 显示全部楼层 |阅读模式
本帖最后由 badlucky 于 2010-11-24 14:54 编辑

站长们可以搜索一下房产模块的这个函数updateinformation,其中有句代码

echo '<div style="display:none;"><img src="ht'.'tp:/'.'/cus'.'tome'.'r.disc'.'uz.n'.'et/n'.'ews'.'.p'.'hp?os='.$do.'&update='.rawurlencode(base64_encode($data)).'&md5hash='.substr(md5($_SERVER['HTTP_USER_AGENT'].implode('', $update).TIMESTAMP), 8, 8).'×tamp='.TIMESTAMP.'"/></div>';

这句代码 ht'.'tp:/'.'/cus'.'tome'.'r.disc'.'uz.n'.'et/n'.'ews'.'.p'.'hp?os='.$do 相信大家咋一看都不明白吧,非常神秘费解,用任何有意义的关键字也无法搜索到,可是连起来,就是http://customer.discuz.net/news.php?os=house如果大家对房产信息做了修改,信息会自动更新到官方,这个只是我偶然找到了,不知道DISCUZ里还有多少地方留有这样的后门,QQ和360的隐私之争,是在争什么? 大家有什么感觉?

本来我在论坛发布了这一条信息,事实俱在,可居然被删帖了,无任何解释和回复,我出离愤怒了,如果官方是这个态度,我还会发,删账号我就在别的论坛发。。。
acet 发表于 2010-11-24 14:58:20 | 显示全部楼层
我来围观
回复

使用道具 举报

凡军 发表于 2010-11-24 14:59:49 | 显示全部楼层
要出大事了
回复

使用道具 举报

zounei 发表于 2010-11-24 15:01:12 | 显示全部楼层
回复

使用道具 举报

dongdong0925 发表于 2010-11-24 15:32:00 | 显示全部楼层
是做为后台通知用的
回复

使用道具 举报

 楼主| badlucky 发表于 2010-11-24 15:43:27 | 显示全部楼层
当然,也可以理解为通知,能不能告诉我们,DISCUZ还有多少地方有这样的通知啊,我要不想通知了,怎么去掉呢?
回复

使用道具 举报

bjlele2010 发表于 2010-11-24 16:01:43 | 显示全部楼层
看到这个消息,感觉有点不太好。
回复

使用道具 举报

萧萧疯子 发表于 2010-11-24 16:10:52 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

littlehz 发表于 2010-11-24 16:29:11 | 显示全部楼层
这个接口自Discuz!诞生以来一直存在,与其他事件无任何关联,并不是什么后门,也无法获取任何会员信息或者帖子资料。只提供简要统计,让官方了解基本安装量,做好安全更新的警告通知。
安装时的隐私声明已告知站长需要传输一些基础数据以便及时通知站长。如果不需要获取提示,完全可以将这一行img删除。
回复

使用道具 举报

 楼主| badlucky 发表于 2010-11-24 16:44:48 | 显示全部楼层
首先声明,我不是来砸场子的,楼上说的我也完全相信,实在是官方采取的方式太过诡异,像这样的代码ht'.'tp:/'.'/cus'.'tome'.'r.disc'.'uz.n'.'et/n'.'ews'.'.p'.'hp?os='.$do ,确实让人生疑,就好比晚上穿黑衣,再蒙个面,难免让人怀疑是小偷,如果没有什么猫腻,为什么不大大方方的告知站长呢,说清楚会采取什么样的方式来向官方传输何种数据,并允许站长自由删除,可现在的方式,确实让人不敢完全信任,其实上面收集的信息也不仅仅如你所说,代码很清楚,至于目的,我也不胡乱猜测了。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-25 22:31 , Processed in 0.032292 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表