中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net  论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

作者: 标题: 本论坛是否有这样的安全问题？ 上一主题 | 下一主题 DOSforever 金牌会员 积分 4633 发帖 2236 注册 2005-1-30 状态 离线 『楼 主』:  本论坛是否有这样的安全问题？ [转贴] PHP论坛不安全 国内双雄出问题 作者: 菲儿   来源: IT168   ( 2007-01-22 )     PHP论坛一直以安全著称，这也是他和ASP论坛的最大区别。不过最近作为国内PHP论坛的双雄——Discuz!和PHPWIND却先后出现了安全问题。这不得不让人感慨PHP论坛也不是万能的。     Discuz!论坛拥有五年以上的应用历史，是全球成熟度最高、覆盖率最大的论坛软件系统之一。然而在其发布的5.0.0版本中又爆出新隐患，只要在地址栏处输入一段代码就会使论坛报错并显示出网站真实的物理地址!     问题根源——Discuz!论坛中出现缺陷，非法用户可以通过修改页面地址获得论坛文件存储的真实物理地址，为入侵探测做好准备。（如图1） 图1     受影响版本——除了最新的Discuz! 5.0.0外4.0中也会出现此问题。     解决办法——需要编辑config.inc.php文件来解决此问题。在config.inc.php里的“$errorreport = 1”处修改这个设置为0。然后在php.ini里 “display_errors =”处设置为Off，最后打开论坛include目录下的common.inc.php将$extra = isset($extra) && preg_match修改为改成 $extra = isset($extra) && @preg_match。     与此同时同样是PHP论坛中佼佼者的PHPWIND也出现了问题，1月21日刚刚进行完官网论坛程序升级的phpwind，在第二天就被黑客组织x.25 Team攻陷，并在页面上留下:So Funny Bug___just a warning字样以示警告。（如图2） 图2     PHPWIND官方站点也在第一时间将出问题的页面进行了修改，并关闭了论坛。到22日上午PHPWIND官方论坛已经恢复。至于究竟是什么漏洞造成本次入侵，PHPWIND没有发布任何消息。笔者认为他们正在开发针对此问题的补丁，新补丁程序会在最近发布。 DOS倒下了，但永远不死 DOS NEVER DIES ! 投票调查： http://www.cn-dos.net/forum/viewthread.php?tid=46187 本人尚未解决的疑难问题： http://www.cn-dos.net/forum/viewthread.php?tid=15135 http://www.cn-dos.net/forum/viewthread.php?tid=47663 http://www.cn-dos.net/forum/viewthread.php?tid=48747 2007-3-13 02:39 Michael 钻石会员 积分 10046 发帖 3039 注册 2002-11-11 状态 离线 『第 2 楼』:   其实 discuz 4.1是比较好的一个版本，我的上网环境浏览discuz 5.0就有很多问题，discuz 5.0只存在了很短的时间，discuz 5.5就匆匆上场了。 简单就是美 2007-3-13 02:43 lxmxn 版主 积分 11386 发帖 4938 注册 2006-7-23 状态 离线 『第 3 楼』:   　　这个问题比较严重，值得站长注意。 2007-3-13 04:22 9527 银牌会员 努力做坏人 积分 1185 发帖 438 注册 2006-8-28 来自 北京 状态 离线 『第 4 楼』:   其实总体来说PHP的站比ASP的安全方面强大了不少，DZ也应该比较成熟啦，不过不太理解论坛现在为何还用DZ 2.5的版本，其实漏洞跟版本并没有太大的关系，只有及时发现然后补上就可以啦，这个问题还真需要注意一下! 我今后在论坛的目标就是做个超级坏人！！！ 2007-3-13 06:35      (329429)       Wengier 系统支持 “新DOS时代”站长 积分 27734 发帖 10521 注册 2002-10-9 状态 离线 『第 5 楼』:   这个问题估计只在新版本中才有吧，而本论坛是Discuz! 2.5版的，我还没有试出有这个问题。 将论坛换成新版本有许多现实困难，在目前条件下一时难以实现。如果没有什么比较大的漏洞的话，似乎也没有必要立即大动干戈。 Wengier - 新DOS时代 欢迎大家来到我的“新DOS时代”网站，里面有各类DOS软件和资料，地址： http://wendos.mycool.net/ E-Mail & MSN: wengierwu AT hotmail.com （最近比较忙，有事请联系DOSroot和雨露，谢谢！） 2007-3-13 14:17          (29206679)       Michael 钻石会员 积分 10046 发帖 3039 注册 2002-11-11 状态 离线 『第 6 楼』:   我也觉得，2.5版本用着也不错了，本论坛访问量不是很大，2.5足矣。 简单就是美 2007-3-15 01:56

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: 站务区  > 站务公告 & 版主讨论  > 意见反馈 & 网友交流 DOS讨论区  > DOS学习入门 & 精彩文章 （教学室）  > DOS疑难解答 & 问题讨论 （解答室）  > DOS启动盘 & LOGO技术 （启动盘室）  > DOS批处理 & 脚本技术（批处理室）  > DOS媒体世界 & 网络技术 （多媒体室）  > DOS汉化世界 & 中文系统 （中文化室）  > DOS开发编程 & 发展交流 （开发室）  > DOS软件下载 & 游戏分享 （下载室） 其它讨论区  > GRUB4DOS、SYSLINUX及其它启动管理软件讨论专区  > 其它操作系统综合讨论区  > WinPE、PowerShell及其它命令行系统专区  > 贴图灌水、文学娱乐专区 服务区  > 网络日志（Blog）  > 论坛回收站      > 链接失效，待修正