导读 【 Discuz被曝零日漏洞 企业应关注论坛安全性 】1、CBSi·ZOL讯:近日,社区软件系统 Discuz 被曝出安全隐患,其 DiscuzX2 被指含有两
【#Discuz被曝零日漏洞 企业应关注论坛安全性#】1、CBSi·ZOL讯:近日,社区软件系统 Discuz 被曝出安全隐患,其 DiscuzX2 被指含有两个零日漏洞:SQL及XSS注入漏洞。
2、Discuz 一直以良好的“安全性”为其主要发展优势,全部商业客户论坛的稳定安全运行向来是其引以为豪的例证。 Discuz 的自动屏蔽贴子、签名等中的恶意代码、跨站脚本攻击,及独有的全程操作记录也是被业界赞许的安全措施。
3、但此次曝出的两个漏洞危害性都很大。其中基于xsrf的SQL注入技术,通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击;
4、而XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。
5、利用XSS漏洞,攻击者可以实现网站挂马、网站钓鱼、CSRF攻击等进一步攻击行为。
6、因此,安全专家建议,用户应立刻安装官方发布的最新补丁,重新部署安全系统及攻击防护。
【#Discuz被曝零日漏洞 企业应关注论坛安全性#】到此分享完毕,希望对大家有所帮助。
免责声明:本文由用户上传,如有侵权请联系删除!