Discuz 应该对缓存目录区分内外以提高安全性

经常看到有站长的论坛被入侵，目前的手段主要是一句话木马通过url注入在服务器端生成php然后访问此文件实现目的。之所以这种攻击容易得手这与dz程序目录不隔离有一定关系。

DZ程序对于缓存目录一直没区分公网使用以及程序自包含，比如对于dz7, forumdata/cache 里面既包含缓存的js文件，css样式文件，还包含dz程序生成的cache_$$.php缓存文件，usergroup_$.php, request_$$$.php数据调用文件等不公开的可执行文件；对于X2则 data/cache/ 目录混杂js, css, php文件。

这样一锅粥存放静态/动态，公开/内部文件的做法着实存在安全漏洞——一般来说web目录安全设置是可执行的目录（及其下文件）不可写，可写的目录不能执行。这样的设置避免在静态目录中存放脚本文件并被执行，在缓存脚本的目录中的文件被从浏览器直接访问并执行（本应该只能由include/require来包含的）。 这样的设置也可以配合nginx的internal命令来实现目录的不可公开访问功能。但目前即无法对forumdate进行权限搜索，也不好在nginx上做目录访问限制。

其实修改代码来分隔静态/脚本文件并不难，在dz7.2中 forumdata/cache 这样的路径是以硬编码的方式写入到程序文件中，只要对应替换为其他目录即可实现目录分离。 实现这样的效果： forumdata/ 只保存css/js等静态文件， forumdata2/ 保存程序生成的缓存文件、数据调用文件、日志、帖子缓存、模板等。

如此目录分离后也可避免对目录盲目设置777权限的要求。

奇怪。。我怎么看不懂的。

我们网站就常常被人偷密码 老火的很

攀枝花友缘网:http://www.0812520.com/
攀枝花婚纱摄影网：http://www.pzhhj.com/

枯心树 发表于 2012-10-12 22:40
奇怪。。我怎么看不懂的。

黑客能看懂～

枯心树 发表于 2012-10-12 22:40
奇怪。。我怎么看不懂的。

我大概看懂了
DEDE程序对权限设置就细化得多

magentoon 发表于 2012-10-13 00:22:07

我大概看懂了
DEDE程序对权限设置就细化得多

dede最不安全了

举个例，网站根目录是公开访问的，所以httpd进程对根目录不应该可写，否则若一句话木马在根目录下生成了PHP文件就可以通过直接访问这个文件来执行命令

支持你的看法。   

专业！ 除了区分cache外， 有没有办法能防止被用木马注入php呢？

支持你的看法。