香蕉成人伊视频在线观看|学生小视频国产区|yy女主播啪啪啪视频|麻豆传播媒体APP大全免费版官网|瑜伽牲交AV|国产欧美日韩在线天堂区|白浆精品国产91

Discuz! 官方交流社區

標題: Discuz相冊有漏洞,通過相冊上傳圖片木馬會執行 [打印本頁]
作者: 我愛大波美女    時間: 2019-6-14 20:37
標題: Discuz相冊有漏洞,通過相冊上傳圖片木馬會執行
Discuz相冊有漏洞,通過相冊上傳圖片木馬會執行
作者: Crossday    時間: 2019-6-14 21:40
早有聽說,官方不知道修復了沒?
作者: TG123999    時間: 2019-6-14 21:41
你能不來,你能不能
作者: aaron    時間: 2019-6-14 22:17
關注,不知道官方有修復沒?
作者: ji8123    時間: 2019-6-15 00:25
什么漏洞啊!  說的好嚇人
作者: 羅永浩    時間: 2019-8-25 23:10
官方的相冊模板以個人的審美不行,希望有人開發插件用于代替
作者: 杰瑞科技    時間: 2019-8-26 00:32
本人開發的插件:“防用戶上傳圖片木馬”可攔截夾帶任何php代碼的圖片通過Discuz相冊、論壇、門戶被上傳到服務器且后臺記錄是誰、什么時間、哪個IP、代碼內容。
(, 下載次數: 50)
https://addon.dismall.com/?@saya_antitrojan.plugin
作者: Lgg    時間: 2019-8-26 02:29
如果是win+IIS系統很簡單,
直接取消attachment目錄的 “處理程序映射”功能, 我站就這么玩的,attachment里面就放放個php馬或者aspx、asp馬給你用,你都執行不了。打開直接403, 還有很多目錄都不需要這個 “處理程序映射”功能, 一行代碼搞定: <handlers accessPolicy="Read" />

如果你們用的nginx和apache  就當我沒說,
作者: 杰瑞科技    時間: 2019-8-26 16:44
(, 下載次數: 58)
本人開發的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和門戶附件圖片以及相冊圖片。
https://addon.dismall.com/?@saya_antitrojan.plugin
作者: 羅永浩    時間: 2019-8-26 17:32
杰瑞科技 發表于 2019-8-26 16:44
本人開發的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

變種呢????
作者: 杰瑞科技    時間: 2019-8-26 17:35
羅永浩 發表于 2019-8-26 17:32
變種呢????

只要夾帶任何<?php開頭的代碼都會被攔截,哪怕是個<?php echo "1"; ?>都會被攔截畢竟不管是不是木馬,夾帶<?php上去都不是好事
作者: 開站一個dis    時間: 2019-8-26 23:53
太可怕了
作者: zpy    時間: 2019-8-27 15:14
杰瑞科技 發表于 2019-8-26 17:35
只要夾帶任何都會被攔截畢竟不管是不是木馬,夾帶

如果,服務器開啟了短標簽。。。
作者: 杰瑞科技    時間: 2019-8-27 15:39
zpy 發表于 2019-8-27 15:14
如果,服務器開啟了短標簽。。。

妥,下個版本更新短標簽過濾
作者: aaron    時間: 2019-10-6 17:12
杰瑞科技 發表于 2019-8-26 16:44
本人開發的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

插件是不是下架了啊?
作者: allthebest    時間: 2019-10-6 18:42
服務器圖片上傳目錄禁止php執行權限,還有禁止圖片以php方式執行(自身安全配置問題)
作者: 老魏    時間: 2019-10-6 20:43
杰瑞科技 發表于 2019-8-26 16:44
本人開發的“防用戶上傳圖片木馬”可攔截Discuz自帶的上傳的木馬包括論壇圖片和論壇附件圖片、門戶圖片和 ...

應用不存在呢
作者: 杰瑞科技    時間: 2019-10-7 12:56
aaron 發表于 2019-10-6 17:12
插件是不是下架了啊?

果然自動下架了,應該是我優惠設置錯誤導致的,假期結束后重新上架
作者: 杰瑞科技    時間: 2019-10-7 15:59
aaron 發表于 2019-10-6 17:12
插件是不是下架了啊?

已更新上架
作者: 耗子    時間: 2019-10-10 23:20

木馬問題不是在程序本身,而是服務器的權限, 是某種的木馬偽裝成圖片 通過上傳頭像 帖子等方式就上傳到你服務器上了,要命的是你服務器還允許執行,
單純的清理木馬沒用的 要服務器的安全最主要
您可以加我QQ交談,有償服務,專業清理+安防



歡迎光臨 Discuz! 官方交流社區 (http://m.yu-jie.cn/) Powered by Discuz! X5.0