Discuz安全漏洞导致论坛站点用户信息被窃取等风险-bug

admin · 发表于 2016-9-3 02:54:59

漏洞详情如下：
【风险概述】：导致论坛站点用户信息被窃取等风险；
【漏洞描述】：Discuz的helper_mobile.php存在跨站漏洞，攻击者可利用该漏洞窃取论坛站点用户信息。
【影响版本】：全版本
【修复建议】：
修改文件：source/class/helper/helper_mobile.php
找到以下两行：
$query_sting_tmp = str_replace(array('&mobile=yes','mobile=yes'), array(''), $_SERVER['QUERY_STRING']);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).($query_sting_tmp ?'?'.$query_sting_tmp.'&mobile=no' : '?mobile=no' );
替换为以下四行：
parse_str($_SERVER['QUERY_STRING'], $query);
$query['mobile'] = 'no';
$query_sting_tmp = http_build_query($query);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).$query_sting_tmp;

宁他爸 · 发表于 2016-9-3 08:48:21

看不明白

不归路 · 发表于 2016-9-3 17:51:32

这个就很厉害了

虫虫助手 · 发表于 2016-9-4 15:48:17

看不懂,不过也学习一下

喜欢吃水果 · 发表于 2016-9-4 16:43:03

看不懂哦。。。。。。

a_lai123 · 发表于 2016-9-10 11:46:44

高手呀//

		自动登录	找回密码
密码			立即注册

[其他] Discuz安全漏洞导致论坛站点用户信息被窃取等风险-bug

射手座

猴年

客服中心

投诉建议