discuz严重漏洞！涵盖所有版本已经定位到原因，请官方及时处理

民审大大 · 发表于 2017-11-10 19:09:33

iTouch_sS2Tt 发表于 2017-11-10 18:54
哎。。还是认真看帖吧。少说话多动手，按我方法操作一下便知。如果靠直接访问图片地址的方式去触发里面嵌 ...

你想说的是UC设置的接口文件会被引入，执行里边的PHP？
这个有个前提是你能进入UC后台加入信息，UC后台文件平时一般可以删除，甚至UC和论坛后台一般设置不允许外网访问

monkeye · 发表于 2017-11-10 22:54:23

且不说文件目录的安全，UC系统被攻入本身就已经非常不安全了，他可以挂任何一个支持UC的系统，备份数据，甚至修改用户，删除用户。自己做好安全吧，把握好入口的安全，比什么都重要！本帖首贴先屏蔽

apoyl · 发表于 2017-11-11 10:05:48

试了一下确实有漏洞。前提key要泄漏

阿斯顿后i · 发表于 2017-11-11 13:38:23

本帖最后由阿斯顿后i 于 2017-11-11 13:40 编辑

iTouch_sS2Tt 发表于 2017-11-10 18:54
哎。。还是认真看帖吧。少说话多动手，按我方法操作一下便知。如果靠直接访问图片地址的方式去触发里面嵌 ...

新开的服务器试了一下，风险确实存在，我向你道歉，这个风险也和各位大佬说的一样，有一个前提，那就是UC密码泄漏或key泄漏。

阿斯顿后i · 发表于 2017-11-11 13:41:57

monkeye 发表于 2017-11-10 22:54
且不说文件目录的安全，UC系统被攻入本身就已经非常不安全了，他可以挂任何一个支持UC的系统，备份数据，甚 ...

能不能限制一下引用范围降低风险？

woaj · 发表于 2017-11-15 16:58:15

阿里云一直提示UC/API漏洞。

		自动登录	找回密码
密码			立即注册