360网站安全检测平台协助修复Discuz!漏洞

时间:2013-05-08 15:26

“Discuz!”是国内用户最多的社区建站系统,但日前,该系统的多个版本曝出安全漏洞。据360网站安全检测平台透露,该平台近期协助国内著名建站系统“Discuz!”修复两个版本的多处高危漏洞,并收到对方致谢。建议广大采用Discuz!建站系统的网站和社区尽快安装补丁。据介绍,Discuz!此次两处漏洞分别由技术高手“passer_by”和“mark_team”提交给360网站安全漏洞悬赏“库带计划”,从而推动Discuz!快速修复了漏洞。

据官方数据,Discuz!系统拥有11年的历史和200多万网站用户,是国内市场占有率最高的社区建站系统,众多知名社区均使用该系统建立网站。此次发现的漏洞存在于最新的Discuz!NT和Discuz!X2.5两个版本中,由于论坛类系统用户众多,一旦被黑客利用,大量用户身份信息等很容易被黑客盗取,并且有可能被用来实现XSS蠕虫传播,甚至挂马、钓鱼等。360协助Discuz!修复漏洞,有助于网站提升防黑能力,保护用户的账户安全。此次,360“库带计划”接到的Discuz!漏洞包括Discuz!NT版本在显示标题列表处存在2个参数问题,导致出现xss漏洞 ;Discuz!X2.5版本发帖上传图片处,在描述图片处未进行过滤,导致XSS存储型漏洞

据悉,360“库带计划”是国内首个第三方漏洞付费收录平台,以现金奖励方式征集开源建站系统漏洞,单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来,360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、ShopEX等多个知名建站系统的漏洞,并协助厂商及时修复。

目前,Discuz!官网已经发布漏洞补丁,360网站安全检测平台(http://webscan.360.cn)也第一时间向注册用户发送了告警邮件,提醒站长们尽快打补丁;同时建议网站站长们免费启用360网站卫士(http://wangzhan.360.cn/),可以在官方补丁发布前有效防范各种0day漏洞攻击。

附:Discuz!系统漏洞及补丁情况

Discuz!NT官方补丁程序下载地址(4月12日):http://nt.discuz.net/showtopic-160406.aspx

Discuz! X2.5 官方补丁下载地址(4月26日):http://www.discuz.net/thread-2744369-1-1.html

漏洞原理

Discuz!NT:在显示标题列表处,其中某2个参数存在问题,导致出现xss漏洞 。

首先定位漏洞,发现是分页处的问题,文件showtopiclist.htm中的如下代码:

                       

问题参数最终会通过pagenumbers输出,没有经过特殊处理,会导致XSS漏洞。测试源代码:

Discuz!X2.5:  发帖上传图片处,在描述图片处未进行过滤,导致XSS存储型漏洞。

漏洞出现在common_extra.js文件中,由于在common.js中已定义htmlspecialchars函数,所以可以使用该函数在此处进行过滤。

在浏览器中测试执行,查看源码,发现未作处理。

                       

漏洞利用效果及危害

漏洞效果:

Discuz!NT:插入恶意代码,触发漏洞。

Discuz!X2.5:发帖上传图片,插入恶意代码,浏览者触发漏洞。

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。