Board logo

标题: [Discuz!相关] DZ 7.2漏洞修复 [打印本页]

作者: shillan    时间: 2013-5-12 21:27     标题: DZ 7.2漏洞修复

检测地址:www.scanv.com
修复方法:添加网站→立即诊断→根据说明进行修复。

常见漏洞修复方法:
低危:Flash crossdomain.xml 跨站请求伪造漏洞
危害:Flash crossdomain.xml 跨站请求伪造漏洞是指黑客利用Flash跨域配置文件(crossdomain.xml)的配置缺陷进行的跨域攻击。如果网站根目录下有crossdomain.xml文件且这个xml文件的allow-access-from标签为通配符*,那么任意域就可以跨域获取本域的隐私数据。
这个漏洞易被攻击者利用,会导致攻击者盗用用户身份发送恶意请求,威胁网站用户安全。
验证信息:
验证URL: http://www.zhumeng.org/crossdomain.xml
漏洞修复建议:
1、配置网站根目录下crossdomain.xml文件中的allow-access-from标签值为本站域名。
例如:修改根目录下crossdomain.xml中<allow-access-from domain="*" />为<allow-access-from domain="*.zhumeng.org" />
2、加速乐已经可以防御该漏洞。请使用加速乐(http://www.jiasule.com),一键防御,让网站更快更安全。

低危:Discuz! X2.5 api.php 信息泄露漏洞
危害:Discuz!是国内一款非常流行的论坛程序,其X2.5版本中的多个文件存在绝对路径泄露漏洞。
受影响的文件包括:
'/api.php',
'/uc_server/control/admin/db.php',
'/install/include/install_lang.php'
攻击者利用该漏洞,可以获得目标网站的绝对路径,为进一步深入攻击搜集信息。
验证信息:
网站绝对路径 X:\web\XXX\XXXX\wwwroot\uc_server\co...
漏洞修复建议:
1、在php.ini中关闭报错模式:在php.ini中设置display_error=Off。
2、打开./api.php文件,将代码:
if(empty($mod) || !array_key_exists($mod, $modarray)) {exit('Access Denied');}
修改为:
if(empty($mod) || !@array_key_exists($mod, $modarray)) {exit('Access Denied');}
3、打开/uc_server/control/admin/db.php文件,在<?php下行添加代码:
!defined('IN_UC') && exit('Access Denied');
4、打开/install/include/install_lang.php文件,在<?php下行添加代码:
if(!defined('IN_COMSENZ')){exit('Access Denied');}
作者: lcehz    时间: 2014-6-28 12:43

要顶的啊,楼主辛苦了,谢谢











bjcars.net




欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2