[编者按]PHP论坛一直以安全著称,这也是他和ASP论坛的最大区别。不过最近作为国内PHP论坛的双雄——Discuz!和PHPWIND却先后出现了安全问题。这不得不让人感慨PHP论坛也不是功能较多的。
Discuz!论坛拥有五年以上的应用历史,是全球成熟度最高、覆盖率最大的论坛软件系统之一。然而在其发布的5.0.0版本中又爆出新隐患,只要在地址栏处输入一段代码就会使论坛报错并显示出网站真实的物理地址!
问题根源——Discuz!论坛中出现缺陷,非法用户可以通过修改页面地址获得论坛文件存储的真实物理地址,为入侵探测做好准备。(如图1)
图1
受影响版本——除了最新的Discuz! 5.0.0外4.0中也会出现此问题。
解决办法——需要编辑config.inc.php文件来解决此问题。在config.inc.php里的“$errorreport = 1”处修改这个设置为0。然后在php.ini里
“display_errors =”处设置为Off,最后打开论坛include目录下的common.inc.php将$extra = isset($extra) && preg_match修改为改成
$extra = isset($extra) && @preg_match。
与此同时同样是PHP论坛中佼佼者的PHPWIND也出现了问题,1月21日刚刚进行完官网论坛程序升级的phpwind,在第二天就被黑客组织x.25 Team攻陷,并在页面上留下:So Funny Bug___just a warning字样以示警告。(如图2)
图2
PHPWIND官方站点也在第一时间将出问题的页面进行了修改,并关闭了论坛。到22日上午PHPWIND官方论坛已经恢复。至于究竟是什么漏洞造成本次入侵,PHPWIND没有发布任何消息。笔者认为他们正在开发针对此问题的补丁,新补丁程序会在最近发布。