CBSi·ZOL讯:近日,社区软件系统 Discuz 被曝出安全隐患,其 DiscuzX2 被指含有两个零日漏洞:SQL及XSS注入漏洞。
Discuz 一直以良好的“安全性”为其主要发展优势,全部商业客户论坛的稳定安全运行向来是其引以为豪的例证。 Discuz 的自动屏蔽贴子、签名等中的恶意代码、跨站脚本攻击,及独有的全程操作记录也是被业界赞许的安全措施。
但此次曝出的两个漏洞危害性都很大。其中基于xsrf的SQL注入技术,通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击;
而XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。
利用XSS漏洞,攻击者可以实现网站挂马、网站钓鱼、CSRF攻击等进一步攻击行为。
因此,安全专家建议,用户应立刻安装官方发布的最新补丁,重新部署安全系统及攻击防护。
标签:Discuz,零日,漏洞
版权声明:文章由 回答三 整理收集,来源于互联网或者用户投稿,如有侵权,请联系我们,我们会立即处理。如转载请保留本文链接:https://www.huidasan.com/article/322224.html
