暴个漏洞uc_server/data/tmp

用户ID：/home.php?mod=space&uid=34992
修改头像，不要去确定，直接到uc_server/data/tmp找文件：uc_server/data/tmp/upload34922.jpg，肯定存在
可能有人觉得这不是问题。如果使用Windows 2008 IIS7.5，你通过
*/uc_server/data/tmp/upload34922.jpg/.php
你可以看到一堆乱码文件，而不是图片。这就是解析漏洞的具体表现。
那么，如果在图片里面加入一句话木马，后面怎么玩，你懂的。
希望官方能补上这个漏洞，命名能不能随机，黑客就无法猜出上传后的文件名，也就无法执行了

那这应该属于是iis的服务器漏洞了,访问uc_server/data/tmp/upload34922.jpg/.php应直接提示文件不存在才对,因为你修复了修改头像那一块可是网站还有很多功能用户也可以上传图片到网站里,比如下载远程图片的功能就有权限漏洞任何人都是可以执行的,看之前发布过:  https://discuz.dismall.com/thread-3808566-1-1.html

IIS设置问题，或者安装个防火墙就好了

/uc_server/data/tmp/ 不应该允许执行PHP

我想说的是tmp文件夹的文件可以猜到，这是有问题的。
请注意，DZ安装提示是可写，并没有说不可执行，好多不懂的直接就777了

是图片木马 配置下服务器安全哦