两个重要更新补丁包
涉及版本
Discuz! 7.1 , Discuz! 7.2
Discuz! 重要安全补丁 20100110 For Discuz! 7.1 Discuz! 7.2
本补丁包只适用于 UCenter Home 2.0 正式版
UCHome 2.0 正式版 20100106补丁包
从sebug获知,discuz 1.0最近爆出一个跨站漏洞和一个注入漏洞,另外从群里获知dz7.1和7.2存在“php远程执行代码”漏洞(上边的补丁包中已经修复)。uchome在特定php环境配置(register_globals为on)下存在一个注入漏洞。
Discuz! 7.1 & 7.2 远程代码执行漏洞细节
Discuz!新版本7.1与7.2版本中的include目录global.func.php中的showmessage函数内eval执行的参数($scriptlang)未初始化,可以任意提交,从而可以执行任意PHP命令。另外misc.php中showmessage使用的$response没有初始化可以作为一个利用点。
漏洞利用原理
showmessage函数里$vars = explode(‘:’, $message);然后message可以自己控制,于是就很容易了,参数是两个自定义的数组。
简单的检测是否漏洞存在
注册一个用户登陆,然后提交
misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}
漏洞分析参考:Discuz! 7.1 & 7.2 远程代码执行漏洞
补充HTML测试代码:
Read more…
安全
Discuz, UCHome, 安全补丁
关于插入的时候添加allowNetworking 参数,可以查看详细的 安全引用Flash视频,allownetworking=”internal” 参数的应用 介绍。
打开include\discuzcode.fun.php
大概在383行,179行,316行
添加以下参数
\’allowNetworking\’,\’internal\’
到
383行
if($flv) {
return
和
316行
case ’swf’:
return ‘
中。
然后添加
‘allowNetworking’,'internal’
到
179行
if($allowmediacode && strpos($msglower, ‘[/flash]‘) !== FALSE) {
$message = preg_replace(
中。
注意参数的对应关系
SNS, 今日一点
allownetworking, Discuz, flash
洛阳生活社区防垃圾帖子思路:
设置提高机器人注册难度,提高新注册会员发贴难度,审核新注册用户帖子,进入板块积分限制,奖励成功举报会员,过滤关键字。
演示地址:http://bbs.luoyanglife.com/
以下说说具体操作。
注册与访问控制:提高机器人注册难度
注册:
新用户注册验证:Email验证
同一 IP 注册间隔限制(小时):18
同一 IP 在 24 小时允许注册的最大次数:2
显示网站服务条款:说明新会员需要知道的社区规则
访问控制:
新手见习期限(小时):1
新手任务:换头像
如果为内部论坛可以设置
允许访问论坛的 IP 列表:…
安全验证设置:提高新注册会员发贴难度
这里不建议使用验证码,和问答同时使用可能导致一些页面显示错位!
安全验证模式:高级验证模式
启用验证问答:新用户注册、 发表主题与回复
验证问答发帖限制:5(或更高)
审核帖子:审核新注册用户帖子
时间设置:
设置发帖审核时间段
会员组权限:
设置新手会员——帖子相关—— 允许直接发帖:全部需要审核
板块设置:
帖子选项——根据需要设置一些板块新手会员可不需要经过审核发表回复。权限设置——设置一项积分(比如:激情)小于零的时候禁止进入论坛。
设置权限表达式的目的就是,把垃圾帖子删除(需配合审核机制)同时扣积分,积分变为负数或一个限度,不可以对这个板块进行操作
奖励成功举报会员、帖子 » 词语过滤
这个就不用介绍了。。
总结一下:限制用户注册加以审核机制,删贴同时扣除积分,配合板块相应积分限制,用户变为乞丐或者积分达不到条件,进一步的垃圾帖子发布失败。
最后可以给“正常用户”留一条后路,就是积分充值或者积分转换让用户回归主流群众身份。
补充
批量删贴指定会员时间段内的帖子。
等待验证的会员不具有发贴权限,甚至可以不具有浏览的权限。乞丐等会员组可不具有任何权限。
洛阳生活社区的积分项目有:威望(可兑入不可兑出)、金币(可兑入兑出,可充值)、激情(可兑入兑出)、贡献(不可兑入兑出,不可充值,主要为任务所得),积分=威望+贡献。
欢迎各位路过看过的朋友指出疏忽的地方 
SNS, 今日一点
Discuz, 洛阳生活, 防垃圾帖子
这两个东东本来是没有关系的,杂碎嘛 – -
1、先说鼠标
发现鼠标不能用啦:右键可以点,但是不可以移动
关机拔掉鼠标线,再插上,依然不能动。。
用手摸着那个光电感应灯上的“标签”,鼠标指针还是不会动!!突然感觉有点不对劲。。这“标签”咋跑贴到光电感应灯上啦,撕掉,鼠标活啦。。
不知道是哪个谁想在鼠标屁股上贴个“标签”跑。。
2、昨晚上装啦两个dz7.0的论坛,UCenter中心提示“通信失败”,具体什么通信失败看不到(貌似UCenter有问题)。
dz论坛登录正常,退出时会附带提示“Access denied for agent changed”,这个东东不影响使用,但是看着不爽。
于是Google下,官方也给有解决方案,可惜对不上(解决不了)偶这个问题。。
把一个dz论坛从UCenter应用中删除,另外一个还是“通信失败”,被删除的还能正常登录。。
对照着uch(通信正常),也没啥问题啊,然后查看dz论坛文件夹“uc_client\data\cache”权限。
然后查看还是“通信失败”,然后编辑UCenter应用中的dz,填写“应用的物理路径:”,返回应用列表,发现ok啦(通信成功)。
然后查看UCenter目录下的data目录发现没有可写权限!设置添加data目录可写权限,然后按照自定义添加UCenter应用,填写密钥,返回应用列表,发现也是OK的(通信成功)。然后发现DZ论坛退出时也没有那个“附加”的提示(Access denied for agent changed)了。
看来问题出在UCenter下的data目录没有可写权限(不能修改文件),设置可写权限后,发现配置文件并没有被修改的。。
看问题的关键就是填写“应用的物理路径:”和data目录是否具有可写修改文件的权限。
官方给出的参考解决方法应该是首选检查的:
1、UCenter 应用 ID 需要和 UCenter 后台的 ID 一致;
2、UCenter 通信密钥需要和 UCenter 后台的通信密钥一致;
3、UCenter 访问地址查看是否是正确的地址;
4、UCenter IP 地址查看是否是 UCenter 所在的 MySQL 服务器的 IP 地址。
今日一点
Discuz, UCenter, 通信失败, 鼠标
目的1:设置登录界面“记住我的登录状态”复选框默认为选中状态(让登录页面自动标记“记住我的登录状态”)。
目的2:更改默认登陆 cookie 有效期。
Discuz版本:Discuz7.0
可以在logging.php中查找 $cookietimecheck
$cookietimecheck = !empty($_DCOOKIE['cookietime']) ? ‘checked=”checked”‘ : ”;
修改为
$cookietimecheck = !empty($_DCOOKIE['cookietime']) ? ‘checked=”checked”‘ : ‘checked=”checked”‘;
就可以默认“记住我的登录状态”(打勾状态)。
或者修改模板也是可以的
在login.htm中找
<input type=”checkbox” name=”cookietime” id=”cookietime” tabindex=”1″ value=”2592000″ $cookietimecheck />
修改为
<input type=”checkbox” name=”cookietime” id=”cookietime” tabindex=”1″ value=”2592000″ checked=”checked” />
若想设置 cookie 有效期可设置上边这句里的“2592000”单位秒!
以上方法经过数据抓包已经验证为正确的。
今日一点, 代码调试
cookie 有效期, Discuz
最近爆Discuz本身的漏洞少了(18日一个安全补丁:Discuz! admin\styles.inc.php get-webshell bug)
关于Discuz 插件的漏洞爆的很紧!最近的几个:
2009-09-02 Discuz! Plugin JiangHu <= 1.1 (id) SQL Injection Vulnerability
2009-08-26 Discuz! Plugin Crazy Star <= 2.0 (fmid) SQL Injection Vulnerability
2009-07-17 Discuz!账号发放插件”2fly_gift.php” SQL注入漏洞
这几个插件都是SQL注入漏洞!如果没自己不能修复漏洞或者插件作者没有修复,建议还是关闭这几个插件吧。。
今日一点
Discuz, SQL Injection Vulnerability, SQL注入
新鲜评论