经过比较长时间的观察,我发现很多中小型公司都用JAVA作为主要的开发语言,甚至某些公司一个PHP的都没有,而他们的主项目做完之后需要配合一个用户交流的平台,Discuz作为国内比较成熟的论坛平台,成为了首选。符合这些条件的公司大多都需要这么一个功能:单点登录。 什么是单点登录? 单点登录说白了就是关闭论坛的用户注册功能,用户在论坛点击登录的链接时跳转到JAVA项目那边的登陆页面或者直接在论坛提交表 …
文章归档
Discuz的CSRF删除管理员和ed2k解析漏洞的简单修复
发布于 2014年7月2日
前段时间乌云上曝光了Discuz的几个漏洞,多数是一些XSS,这个我也没在意,因为DZ的auth cookie是httponly的,最多也就弹个窗、跳转下链接,而且我用的是nginx,没有Apache低版本那个奇葩的数据溢出导致泄漏httponly的cookie。不过那个CSRF删除管理员的洞洞真是太刁,估计很多人已经中招了。很多站长可能也像我一样,懒得升级或者无法升级,所以这里就提供一下临时解决 …
Discuz论坛X2.5,X3,X3.1版本通用刷分器
发布于 2014年4月24日
前几天看到Wooyun的Discuz刷分漏洞,于是测试了一下一些比较有名气的论坛,发现漏洞果然普遍存在……本地论坛测试一下X2.5,X3,X3.1(2014-03-01)全中,X2版本没有问题。 Wooyun的链接:http://wooyun.org/bugs/wooyun-2014-049502 贴中给出了修复的方法,编辑:source/class/class_task.php 定位到343行, …
Discuz X3.1最新修改注册用户名长度限制
发布于 2014年3月20日
公司最近在做一个游戏论坛,需要JAVA项目和Discuz同步登陆和退出,JAVA项目那边用了 discuz-ucenter-api-for-java 这个开源项目,那边的用户名是邮箱或者手机号码,长度肯定不止15个字符(邮箱账号的话@xxx.xxx就占了好几位),而Discuz的用户名也已经限制了长度,没办法,只能改源码了。我对DZ源码也不熟,于是在官方论坛搜了一大通,发现一帮人需要解决这个问题, …
Discuz X3 论坛访问推广获得积分漏洞
发布于 2013年11月13日
最近逛白帽社区的discuz版块找找有啥新漏洞可以利用的,发现今年9月份的访问推广漏洞厂商竟然直接无视掉了,果然康盛自从被TX收购之后就越来越没节操了,产品研发周期感觉太短了不说,客服处理问题的效率实在有点低,就比如之前我提交的一个dz的插件出了点小问题,联系了好几天才联系上客服( ̄▽ ̄;) 特别是X3啊,匆匆发布,刚发布的时候各种兼容性问题,BUG层出不穷,漏洞也一大堆,虽然现在升了X3.1…… …
最近迷上了做Discuz插件/瞎扯一些话
发布于 2013年7月30日
最近迷上了制作DZ论坛的插件。到现在为止已经做了4个插件了。一开始觉得制作插件挺复杂的,但是经过慢慢学习,也参考了一些其他人写的代码,我也慢慢开始明白了DZ的插件到底是怎么工作的。有时候一个小小的错误都要找半天,找到BUG之后很想掀桌啊(╯-_-)╯╧╧ 进来一个礼拜都是时差相反的……我自己也觉得奇怪,明明是要准备考研的人却在没日没夜写插件……可能打心底里我就不想复习吧。感觉再来重新看一遍高数,背 …
