近日DISCUZ官網公佈多項插件漏洞問題

近日DISCUZ官網公佈多項插件漏洞問題

為維護主機及使用者安全性問題，以下公布四款高危插件
建議自行修补或者卸载插件
原網址
http://www.discuz.net/thread-421718-1-1.html
【注意】安装插件存在风险，安全隐患不容忽视（公布4款高危插件）


　　根据近期我们接到的论坛社区被入侵的案例来看，由于插件造成的论坛被入侵事例正在呈上升趋势。

　　由于Discuz! 本身具有较高的安全性，加之论坛程序自身的不断完善，被攻击和利用的几率越来越低。然而，很多站点出于自身的需求，安装了各种各样的插件。大家仅注重插件的表面功能，不懂代码或者无暇细细研读代码，从而导致论坛存在越来越多的隐患。插件的脆弱性已经引起一些黑客（攻击者）的兴趣。

　　目前来看，插件的不安全因素主要存在于四个方面：

1、不顾效率，大量安装各种插件
        隐蔽性：★   可攻击性：★★★★  危害性：★★

　　一些插件仅仅注重功能，程序代码效率极低，有些站长盲目安装插件，从而造成论坛对服务器负担越来越大，如果利用专用工具频繁访问某些插件，极有可能导致服务器瘫痪，导致论坛无法访问。


2、盲目安装，随意卸载造成深层隐患
        隐蔽性：★★★★★ 可攻击性：★★ 危害性：★★★★

　　某些站长由于看到一些插件功能很好，草率的进行了安装，事后发现并不适合自己的论坛，又进行了卸载。某些插件如果是完整的，并没有安全问题，但是如果卸载不干净，会导致程序中存在有残留的代码，这些代码就像是定时炸弹，随时会成为论坛的杀手。不但影响论坛的安全，甚至可能影响到今后的顺利升级。


3、插件质量堪忧，直接威胁论坛安全
        隐蔽性：★★★ 可攻击性：★★★★ 危害性：★★★★★

　　一些插件由于制作比较粗糙，仅仅可以完成功能，但很多地方禁不住推敲，甚至程序存在逻辑问题。这些插件轻则导致会员属性异常（如积分、金钱、威望狂涨），重则可导致会员权限提升，甚至获取管理员权限。


4、好心办坏事，谨慎插件升级
        隐蔽性：★★★★　可攻击性：★★★★　危害性：★★★★★

　　一些插件仅仅适合对应的版本，但是一些“好心人”未经严格测试使用在高版本的论坛程序上。 由于插件大多属于业余制作，插件原作者不提供后期维护和技术支持，一旦论坛程序升级，这些插件就无法使用。一些站长经过简单修改，另其可以工作在更高版本上。殊不知，由于论坛某些核心体系的变更，如果插件仅仅是简单的适应性修改，很有可能埋下隐患，成为黑客攻击的目标。

　　      
         针对以上问题，我希望站长在选择插件的时候进行仔细斟酌，审慎定夺。
      本文以及本人无意打击饱含热情的插件作者，对于能够把自己的劳动成果无偿奉献出来的朋友，我由衷的钦佩并感谢备至。我希望能够有更多、更优秀、更安全的插件推出，把论坛程序打造的尽善尽美。

      


QUOTE:
以下公布四款高危插件，由于涉及站点颇广，对于问题细节不再进行过多的描述，建议自行修补或者卸载插件。

1. 【银行】 危害：★
建议: 千万不要把银行行长的职务设置给非管理员

2. 【许愿池】危害： ★★★★★
建议立即删除此插件所有文件！！！

3. 【社区婚姻 1.0】危害： ★★★★★
建议立即删除此插件所有文件！！！

4. 【宠物】危害： ★★★★
建议立即关闭此系统！

站長Hua、副站長Morries已知悉此一情事，感謝提示。