前段时间乌云上曝光了Discuz的几个漏洞,多数是一些XSS,这个我也没在意,因为DZ的auth cookie是httponly的,最多也就弹个窗、跳转下链接,而且我用的是nginx,没有Apache低版本那个奇葩的数据溢出导致泄漏httponly的cookie。不过那个CSRF删除管理员的洞洞真是太刁,估计很多人已经中招了。很多站长可能也像我一样,懒得升级或者无法升级,所以这里就提供一下临时解决 …
文章归档
Discuz X3 论坛访问推广获得积分漏洞
发布于 2013年11月13日
最近逛白帽社区的discuz版块找找有啥新漏洞可以利用的,发现今年9月份的访问推广漏洞厂商竟然直接无视掉了,果然康盛自从被TX收购之后就越来越没节操了,产品研发周期感觉太短了不说,客服处理问题的效率实在有点低,就比如之前我提交的一个dz的插件出了点小问题,联系了好几天才联系上客服( ̄▽ ̄;) 特别是X3啊,匆匆发布,刚发布的时候各种兼容性问题,BUG层出不穷,漏洞也一大堆,虽然现在升了X3.1…… …