Discuz! 权限设置缺陷(BUG) [可随意访问没权限访问的版块]

by y0umer
Formu:Gh0st Dant Team
微博：http://www.weibo.com/h4x0er/
这不是一个0day，只是设计思维错误。

怎么这么说呢？为什么错误呢？？权限？？
当然，这不是官方的错误，是站长自己考虑不全影响的错误(bug)，但是有很多站长都是这样设置的也是官方自己默认的。

简要：众所周知，一枚钥匙打开一把锁。如果我拿着不一样的钥匙去打开同一把锁是肯定打不开的，如果我在门里面当然就理所应当可以打开这把锁了。（这就是这个BUG的关键。）
影响版本：Discuz!7.2 Discuz!X1.5 Discuz!2.0 Discuz!X2.5
提前是要有一个管理组的超级版主权限
首先我们来设置给一个添加一个用户，权限为管理组的超级版主（可以访问所有版块，可以管理所有主题）



然后我们在来设置下版块的访问权限。

不可以超级版主浏览。

我这里的管理组是管理员的权限（改了名字而已）
然后我们登陆超级版主的账号，访问那个版块。

嗯，没权访问，照理说里面的帖子就不能看的吧？
下面找方法突破。
随便找一个有权访问的版块。然后管理面板。

然后我们选择主题管理 之后选择刚才我们无权访问的版块。

然后在把主题移除无权访问版块，随便找一个有权限访问的。。
我们是不是就看到刚才无权访问的帖子了？是不是很坑爹呢。。 关键是逻辑思维啊。。dz的程序员肯定想有管理权限的人还的分的那么清楚？ 如果是vip呢？如果不要超级版主访问呢？？ 是不是可以用这种方法进行突破。
假设我们社工了某论坛的超级版主号，但是无权访问我们想访问的版块，是不是可以这么做？达到我们的目的。。



好了，关于bug呢，也给大家解释的差不多了~ 吃饭去··

转播微博[tthread=noh4x0er, y0umer]http://app.qlogo.cn/mbloghead/21a4fe1fb0fee6842130[/tthread]

额，，，你说的这个，感觉跟现有的不太冲突，老版本的功能了，N久之前就这样了。
这功能已经被大多数站长所接受。

我擦那岂不是很危险啊 ！