远程图片本地化的高危漏洞

ywxs · 发表于 2006-10-23 01:36:24

还好我没装这个插件。

puyang · 发表于 2006-10-23 01:42:14

有办法挽救吗？其实很喜欢这个插件的。
你的作品我都很喜欢阿~~

支持你~~

puyang · 发表于 2006-10-23 01:44:50

比如采用Discuz自带的那种上传后改随机名字的方式，因为这样，论坛里面本来就可以上传php文件而没有安全问题的。
另外进行文件类型的判断即可，注意要避免后面加空格/点的方式躲过判断。那我们可以只允许某些文件名可以上传。

Seika · 发表于 2006-10-23 01:51:13

关注漏洞~~

wangdi1900 · 发表于 2006-10-23 02:02:38

如何修复啊~~~~~

童虎 · 发表于 2006-10-23 08:28:34

原帖由 sunyabc 于 2006-10-22 12:22 发表
没装插件，但官方的IMG标签有这个漏洞吗？

官方的没有

缘亦如此 · 发表于 2006-10-23 08:40:30

唉这漏洞也太多了，我都不想整了，老魔能不能给他解决办法

zclion · 发表于 2006-10-23 08:59:07

看看

xyao · 发表于 2006-10-23 09:10:36

我原来就提过这个问题，但是发帖的人告诉我没事。结果还是有这问题

cnfreeos · 发表于 2006-10-23 09:26:23

在服务器配置上，应关闭attachments和customavatars的php引擎.

		自动登录	找回密码
密码			立即注册