【Discuz插件】分享内容到微信朋友圈，奖励微信现金红包

⑧穿内裤 · 发表于 2018-5-31 09:09:15

直接被注入风险地方

⑧穿内裤 · 发表于 2018-5-31 09:15:16

麻烦给我

鑫悦_v1oI2 · 发表于 2018-5-31 09:15:58

⑧穿内裤发表于 2018-5-31 09:09
直接被注入风险地方

其实那个是分享人的openid，每个人的都不一样，其实属于小问题！！！审核的时候，民审也说到过这个问题，本人也坚决解决好这个小问题，非常感谢“⑧穿内裤”师傅的指导！！！已经清除下载地址，等后续升级更新之后再重新放出下载地址出来，再次感谢您的指导！！

鑫悦_v1oI2 · 发表于 2018-5-31 09:21:01

⑧穿内裤发表于 2018-5-31 09:15
麻烦给我

师傅，是致命的漏洞，这个不属于致命的漏洞哦，那个$_GET['openid']是很长的字符串，没有规律的。。。并且你这个是后台的文件，用了IN_ADMINCP，后台要管理员才能进去操作。。

⑧穿内裤 · 发表于 2018-5-31 09:23:00

鑫悦_v1oI2 发表于 2018-5-31 09:21
师傅，是致命的漏洞，这个不属于致命的漏洞哦，那个$_GET['openid']是很长的字符串，没有规律的。。。并 ...

这话说的，凡是风险都是有可能致命的，去看看《蝴蝶效应》

⑧穿内裤 · 发表于 2018-5-31 09:26:36

此处获取content没有进行过滤，致命不

鑫悦_v1oI2 · 发表于 2018-5-31 09:27:26

⑧穿内裤发表于 2018-5-31 09:23
这话说的，凡是风险都是有可能致命的，去看看《蝴蝶效应》

师傅，如果discuz后台随便都可以进去，那这个就是discuz系统的问题了。

⑧穿内裤 · 发表于 2018-5-31 09:28:58

本帖最后由 ⑧穿内裤于 2018-5-31 09:32 编辑

鑫悦_v1oI2 发表于 2018-5-31 09:27
师傅，如果discuz后台随便都可以进去，那这个就是discuz系统的问题了。

呵呵，随意，反正也没打算能要到，就是纯属闲得蛋疼
没考虑到弱密码的情况下可能被人暴力破解密码，然后就能进入后台，然后SQL注入咯

鑫悦_v1oI2 · 发表于 2018-5-31 09:37:40

⑧穿内裤发表于 2018-5-31 09:28
呵呵，随意，反正也没打算能要到，就是纯属闲得蛋疼
没考虑到弱密码的情况下可能被人暴力破解密码，然后 ...

师傅这种严谨和追求细节的技术作风很值得我学习，以后我也要改正过来，忙完之后准备看一下《蝴蝶效应》学习一下。

1315023801 · 发表于 2018-7-27 13:52:51

插件能不能发一份给我 1315023801@qq.com

		自动登录	找回密码
密码			立即注册

[发布] 【Discuz插件】分享内容到微信朋友圈，奖励微信现金红包