标题: 本论坛是否有这样的安全问题？ [打印本页]

---

作者: DOSforever     时间: 2007-3-13 02:39    标题: 本论坛是否有这样的安全问题？

[转贴] PHP论坛不安全 国内双雄出问题

作者: 菲儿   来源: IT168   ( 2007-01-22 )

    PHP论坛一直以安全著称，这也是他和ASP论坛的最大区别。不过最近作为国内PHP论坛的双雄——Discuz!和PHPWIND却先后出现了安全问题。这不得不让人感慨PHP论坛也不是万能的。

    Discuz!论坛拥有五年以上的应用历史，是全球成熟度最高、覆盖率最大的论坛软件系统之一。然而在其发布的5.0.0版本中又爆出新隐患，只要在地址栏处输入一段代码就会使论坛报错并显示出网站真实的物理地址!

    问题根源——Discuz!论坛中出现缺陷，非法用户可以通过修改页面地址获得论坛文件存储的真实物理地址，为入侵探测做好准备。（如图1）


图1

    受影响版本——除了最新的Discuz! 5.0.0外4.0中也会出现此问题。

    解决办法——需要编辑config.inc.php文件来解决此问题。在config.inc.php里的“$errorreport = 1”处修改这个设置为0。然后在php.ini里
“display_errors =”处设置为Off，最后打开论坛include目录下的common.inc.php将$extra = isset($extra) && preg_match修改为改成
$extra = isset($extra) && @preg_match。

    与此同时同样是PHP论坛中佼佼者的PHPWIND也出现了问题，1月21日刚刚进行完官网论坛程序升级的phpwind，在第二天就被黑客组织x.25 Team攻陷，并在页面上留下:So Funny Bug___just a warning字样以示警告。（如图2）


图2

    PHPWIND官方站点也在第一时间将出问题的页面进行了修改，并关闭了论坛。到22日上午PHPWIND官方论坛已经恢复。至于究竟是什么漏洞造成本次入侵，PHPWIND没有发布任何消息。笔者认为他们正在开发针对此问题的补丁，新补丁程序会在最近发布。

---

作者: Michael     时间: 2007-3-13 02:43
其实 discuz 4.1是比较好的一个版本，我的上网环境浏览discuz 5.0就有很多问题，discuz 5.0只存在了很短的时间，discuz 5.5就匆匆上场了。

---

作者: lxmxn     时间: 2007-3-13 04:22

　　这个问题比较严重，值得站长注意。

---

作者: 9527     时间: 2007-3-13 06:35
其实总体来说PHP的站比ASP的安全方面强大了不少，DZ也应该比较成熟啦，不过不太理解论坛现在为何还用DZ 2.5的版本，其实漏洞跟版本并没有太大的关系，只有及时发现然后补上就可以啦，这个问题还真需要注意一下!

---

作者: Wengier     时间: 2007-3-13 14:17
这个问题估计只在新版本中才有吧，而本论坛是Discuz! 2.5版的，我还没有试出有这个问题。

将论坛换成新版本有许多现实困难，在目前条件下一时难以实现。如果没有什么比较大的漏洞的话，似乎也没有必要立即大动干戈。

---

作者: Michael     时间: 2007-3-15 01:56
我也觉得，2.5版本用着也不错了，本论坛访问量不是很大，2.5足矣。