久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區(qū)

標(biāo)題: Discuz相冊有漏洞,通過相冊上傳圖片木馬會執(zhí)行 [打印本頁]
作者: 我愛大波美女    時間: 2019-6-14 20:37
標(biāo)題: Discuz相冊有漏洞,通過相冊上傳圖片木馬會執(zhí)行
Discuz相冊有漏洞,通過相冊上傳圖片木馬會執(zhí)行
作者: Crossday    時間: 2019-6-14 21:40
早有聽說,官方不知道修復(fù)了沒?
作者: TG123999    時間: 2019-6-14 21:41
你能不來,你能不能
作者: aaron    時間: 2019-6-14 22:17
關(guān)注,不知道官方有修復(fù)沒?
作者: ji8123    時間: 2019-6-15 00:25
什么漏洞啊!  說的好嚇人
作者: 羅永浩    時間: 2019-8-25 23:10
官方的相冊模板以個人的審美不行,希望有人開發(fā)插件用于代替
作者: 杰瑞科技    時間: 2019-8-26 00:32
本人開發(fā)的插件:“防用戶上傳圖片木馬”可攔截夾帶任何php代碼的圖片通過Discuz相冊、論壇、門戶被上傳到服務(wù)器且后臺記錄是誰、什么時間、哪個IP、代碼內(nèi)容。
(, 下載次數(shù): 25)
https://addon.dismall.com/?@saya_antitrojan.plugin
作者: Lgg    時間: 2019-8-26 02:29
如果是win+IIS系統(tǒng)很簡單,
直接取消attachment目錄的 “處理程序映射”功能, 我站就這么玩的,attachment里面就放放個php馬或者aspx、asp馬給你用,你都執(zhí)行不了。打開直接403, 還有很多目錄都不需要這個 “處理程序映射”功能, 一行代碼搞定: <handlers accessPolicy="Read" />

如果你們用的nginx和apache  就當(dāng)我沒說,
作者: 杰瑞科技    時間: 2019-8-26 16:44
(, 下載次數(shù): 29)
本人開發(fā)的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和門戶附件圖片以及相冊圖片。
https://addon.dismall.com/?@saya_antitrojan.plugin
作者: 羅永浩    時間: 2019-8-26 17:32
杰瑞科技 發(fā)表于 2019-8-26 16:44
本人開發(fā)的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

變種呢????
作者: 杰瑞科技    時間: 2019-8-26 17:35
羅永浩 發(fā)表于 2019-8-26 17:32
變種呢????

只要夾帶任何<?php開頭的代碼都會被攔截,哪怕是個<?php echo "1"; ?>都會被攔截畢竟不管是不是木馬,夾帶<?php上去都不是好事
作者: 開站一個dis    時間: 2019-8-26 23:53
太可怕了
作者: zpy    時間: 2019-8-27 15:14
杰瑞科技 發(fā)表于 2019-8-26 17:35
只要夾帶任何都會被攔截畢竟不管是不是木馬,夾帶

如果,服務(wù)器開啟了短標(biāo)簽。。。
作者: 杰瑞科技    時間: 2019-8-27 15:39
zpy 發(fā)表于 2019-8-27 15:14
如果,服務(wù)器開啟了短標(biāo)簽。。。

妥,下個版本更新短標(biāo)簽過濾
作者: aaron    時間: 2019-10-6 17:12
杰瑞科技 發(fā)表于 2019-8-26 16:44
本人開發(fā)的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

插件是不是下架了啊?
作者: allthebest    時間: 2019-10-6 18:42
服務(wù)器圖片上傳目錄禁止php執(zhí)行權(quán)限,還有禁止圖片以php方式執(zhí)行(自身安全配置問題)
作者: 老魏    時間: 2019-10-6 20:43
杰瑞科技 發(fā)表于 2019-8-26 16:44
本人開發(fā)的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

應(yīng)用不存在呢
作者: 杰瑞科技    時間: 2019-10-7 12:56
aaron 發(fā)表于 2019-10-6 17:12
插件是不是下架了啊?

果然自動下架了,應(yīng)該是我優(yōu)惠設(shè)置錯誤導(dǎo)致的,假期結(jié)束后重新上架
作者: 杰瑞科技    時間: 2019-10-7 15:59
aaron 發(fā)表于 2019-10-6 17:12
插件是不是下架了啊?

已更新上架
作者: 耗子    時間: 2019-10-10 23:20

木馬問題不是在程序本身,而是服務(wù)器的權(quán)限, 是某種的木馬偽裝成圖片 通過上傳頭像 帖子等方式就上傳到你服務(wù)器上了,要命的是你服務(wù)器還允許執(zhí)行,
單純的清理木馬沒用的 要服務(wù)器的安全最主要
您可以加我QQ交談,有償服務(wù),專業(yè)清理+安防



歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/) Powered by Discuz! W1.0