Discuz.net被黑并非由于论坛漏洞造成

官方发表的声明:http://www.discuz.net/thread-349478-1-1.html

2006年7月22日23时10分,官方网站首页显示

Hacked By 剑心&9xiao
漏洞友情提示
Just For Fun

7月23日凌晨我们就联系上了剑心,他叙述了此次漏洞的全过程。在此之前剑心所在的B.C.T(Bug Center Team)团队和9xiao所在的火狐技术联盟,还曾发现过不少知名论坛的漏洞。他们的主页是 http://www.cnbct.org/ 、http://www.wrsky.com/。

据剑心说,Discuz! 代码相当严谨,此次漏洞,是由于 Supesite V4 早期的官方演示程序 http://demo.supesite.net/ 后台“在线编辑”功能过滤不严格。同时

Supesite V4演示程序与 Discuz! 论坛放置在同一台服务器,导致通过此漏洞修改了Discuz!官方站点目录下的缓存文件,我们已经关闭了该演示站点。

除改写首页缓存之外,没有损坏官方数据及系统。这个漏洞在 Supesite V4 正式版及近期推出的 Supesite V5 中也已经得到彻底解决。

虽然这次并不是由Discuz!代码引起的,但是我们愿意与B.C.T及其他安全组织进行合作,在彼此专长的领域,优化出更加完善安全的产品。并扭转长期以来黑客与程序开发者之间的双重负面影响。长期合作,增进沟通。

对于重大的安全漏洞,官方发布补丁之后,会在合理的时间公布这些漏洞的发现者及组织。使更多的人可以和他们讨论安全问题。Discuz! 也会增设安全部门与他们共同成长。

我们已经向剑心及9xiao发出邀请,希望他们能在年底访问Discuz!。并预祝他们顺利完成学业,把他们的技术用到更关键的地方。

同时我们对用户及各位爱好者近日的紧张表示歉意,无论是今天还是明天我们都会妥善解决产品中的各类矛盾。[/quote]

相关日志

发表评论