SiS001! Board - [第一会所关闭注册]

标题: [交流] 论坛有漏洞啊 [打印本页]

作者: 13631 时间: 2007-2-19 12:20 标题: 论坛有漏洞啊

会爆出物理路径的，赶紧修补下吧！

解决方案：

config.inc.php里通 $errorreport = 1;

这个设置为0

这个和php的安全设置有关。

然后：

php.ini里

display_errors = Off （如果你没有主机权限那就看下面的。）

打开论坛 include 目录下的 common.inc.php

$extra = isset($extra) && preg_match

改成

$extra = isset($extra) && @preg_match

上传覆盖就可以搞定了。。。

有个小小的要求啊，可不可以把我弄成LEVEL 2以上啊，我现在很多东西都看不到的，谢谢啊

[ 本帖最后由 13631 于 2007-2-19 05:31 PM 编辑 ]

作者: 随欲 时间: 2007-2-19 12:56

呵呵很专业不懂
如果情况属实会奖励的

作者: canory 时间: 2007-2-19 13:00

第一个，我的理解是，有可能因为某些出错，出错信息显示在浏览器里面，从而导致了论坛目录结构的暴露。
如果目录权限设置有问题的话，可以利用目录列表跳过某一层的检测，直接进入下一层目录读取里面的信息，
包括读取秘密论坛的信息，密码文件，等等。。。

第二个，。。。应该是算法上的笔误吧。。。看不懂。。。，不好意思。。

上面的说错了的话，楼主不要笑我呀，欢迎指教

作者: wjlqqwyx 时间: 2007-2-19 17:12

技术高手啊，俺不懂这些，不过俺佩服楼主的热心和细心。
新年好！

作者: sis_tech 时间: 2007-2-19 19:44

无关系 DZ里已经见过了就是显示物理路径的

作者: zhimih 时间: 2007-2-19 19:54

楼主这么专业的知识.偶也不懂的.5楼A大的解释才有所悟.有时确实能显示物理路径的.

作者: zypaxxb 时间: 2007-2-19 21:30

这应该是属于4.0版本里的漏洞吧,现在应该已经没有了..

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://104.194.212.40/bbs1/)