黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]关于dvbbs6.0的一个设计缺陷 [打印本页]

作者: 青蛙 时间: 2005-9-6 15:17 标题: [原创]关于dvbbs6.0的一个设计缺陷

[watermark] 动网论坛到目前为止是国内使用较多的一种论坛,到现在已经发展了好几个版本和一些补丁程序,对于最早的dvbbs6.0可以说是漏洞百出,虽然现在动网论坛的官方对早期的6.0版本进行了加强改进,基本杜绝了一些早期的漏洞,在6.0的发帖处的上传已经被设置为每天上传0个,这样的话只要把头像处的上传给去掉,就可以从根本上杜绝了上传漏洞了(也能杜绝备份数据挂马哦),从这一点来看,现在官方所提供的6.0版本已经进行了一些加强,对于这个版本的其他几个漏洞我没测试过,估计应该现在也行不通了.现在使用较广的7.0版本以及他的几个sp补丁和最新出的7.1版本在安全性上都有了很大的改变,但在进入后台后通过备份数据库的挂马方法却还依然没有找到好的办法解决,今天我想和大家谈的就是dvbbs6.0版本所存在的一个设计缺陷,导致还可以用另外一种方法挂马. 在dvbbs6.0中存在一个名为初始信息设置的功能模块,方便用户直接在后台更改论坛的注册条款,而作者在设计这个功能版块的时候,却留下了一个缺陷.首先我们知道我们进行注册的页面为http://****/bbs/reg.asp, 这说明注册条款由reg.asp这个文件控制,我打开这个文件看里面是怎么实现修改注册条款的,在这个文件中有这样一段代码:

作者: 千與千尋 时间: 2005-9-6 15:21 标题: [原创]关于dvbbs6.0的一个设计缺陷

这是青蛙以前发表在杂志上的一篇文章，现在也许对大家没什么价值，但是这种思路是好的，我们应该多学，多思考，自己去发掘漏洞，自己多写原创，我想青蛙也是这个意思。给大家带好一个头。

作者: x86 时间: 2005-9-6 19:21 标题: [原创]关于dvbbs6.0的一个设计缺陷

支持！！！

作者: 孤舟独帆 时间: 2005-9-11 17:43 标题: [原创]关于dvbbs6.0的一个设计缺陷

恩恩支持

作者: sunshine-v 时间: 2005-9-29 20:48 标题: [原创]关于dvbbs6.0的一个设计缺陷

青蛙真厉害~

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)