打印

[交流] 论坛有漏洞啊

13631

LEVEL 6

Rank: 5 Rank: 5

UID: 620252
帖子: 174
积分: 42
金币: 644 枚
威望: 4 点
金镑: 0 个
银币: 0 枚
注册时间: 2007-2-18
最后登录: 2020-10-8

1楼大中小发表于 2007-2-19 12:20 只看该作者

0

论坛有漏洞啊

会爆出物理路径的，赶紧修补下吧！

解决方案：

config.inc.php里通 $errorreport = 1;

这个设置为0

这个和php的安全设置有关。

然后：

php.ini里

display_errors = Off （如果你没有主机权限那就看下面的。）

打开论坛 include 目录下的 common.inc.php

$extra = isset($extra) && preg_match

改成

$extra = isset($extra) && @preg_match

上传覆盖就可以搞定了。。。

有个小小的要求啊，可不可以把我弄成LEVEL 2以上啊，我现在很多东西都看不到的，谢谢啊

[ 本帖最后由 13631 于 2007-2-19 05:31 PM 编辑 ]

TOP

作者的其他主题:
望月美里母乳合集给亚洲成人无码原创区的建议 18歳母乳新妻1-3 金币是不是还会往下减【已解决】 tokoy hot n0155負債RQメス売買闇市場漂亮姐姐的色情實習(中字)]

随欲该用户已被删除	2楼大中小发表于 2007-2-19 12:56 只看该作者 0 呵呵很专业不懂如果情况属实会奖励的
	TOP

canory

懒猫

贡献会员

Rank: 7 Rank: 7 Rank: 7

UID: 503339
帖子: 12296
积分: 1081275
金币: 53716408 枚
威望: 1352 点
金镑: 0 个
银币: 0 枚
注册时间: 2006-11-1
最后登录: 2012-3-30

论坛金级认同勋章论坛元老论坛贡献勋章

3楼大中小发表于 2007-2-19 13:00 只看该作者

0

第一个，我的理解是，有可能因为某些出错，出错信息显示在浏览器里面，从而导致了论坛目录结构的暴露。
如果目录权限设置有问题的话，可以利用目录列表跳过某一层的检测，直接进入下一层目录读取里面的信息，
包括读取秘密论坛的信息，密码文件，等等。。。

第二个，。。。应该是算法上的笔误吧。。。看不懂。。。，不好意思。。

上面的说错了的话，楼主不要笑我呀，欢迎指教

TOP

wjlqqwyx

喳喳

LEVEL 12

Rank: 10

查无此人

UID: 460325
帖子: 3433
积分: 2014
金币: 79402 枚
威望: 3 点
金镑: 0 个
银币: 0 枚
注册时间: 2006-10-4
最后登录: 2024-9-15

4楼大中小发表于 2007-2-19 17:12 只看该作者

0

技术高手啊，俺不懂这些，不过俺佩服楼主的热心和细心。
新年好！

TOP

sis_tech

我的昵称很长

Administrator

Rank: 12

UID: 1
帖子: 9207
积分: 87516
金币: 4309561 枚
威望: 227 点
金镑: 1 个
银币: 15 枚
注册时间: 2005-5-12
最后登录: 2024-9-16

SIS001壹週歲紀念 SIS001贰週歲紀念 SIS001叁周歲紀念 SIS001肆周歲紀念 SIS001伍週歲紀念 SIS001陆週歲紀念 SIS001柒週歲紀念 SIS001捌週歲紀念 SIS001玖週歲紀念 SIS001拾週歲紀念 SIS001拾壹週歲紀念 SIS001拾贰週歲紀念會所吉祥物☆必勝张灯结彩闹元宵幸福团圆串串红大吉大利龍年龍運末日船票

5楼大中小发表于 2007-2-19 19:44 只看该作者

0

无关系 DZ里已经见过了就是显示物理路径的

TOP

zhimih 该用户已被删除	6楼大中小发表于 2007-2-19 19:54 只看该作者 0 楼主这么专业的知识.偶也不懂的.5楼A大的解释才有所悟.有时确实能显示物理路径的.
	TOP

zypaxxb 该用户已被删除	7楼大中小发表于 2007-2-19 21:30 只看该作者 0 这应该是属于4.0版本里的漏洞吧,现在应该已经没有了..
	TOP