Discuz被曝零日漏洞 企业应关注论坛安全性

1、CBSi·ZOL讯：近日，社区软件系统 Discuz 被曝出安全隐患，其 DiscuzX2 被指含有两个零日漏洞：SQL及XSS注入漏洞。

2、Discuz 一直以良好的“安全性”为其主要发展优势，全部商业客户论坛的稳定安全运行向来是其引以为豪的例证。 Discuz 的自动屏蔽贴子、签名等中的恶意代码、跨站脚本攻击，及独有的全程操作记录也是被业界赞许的安全措施。

3、但此次曝出的两个漏洞危害性都很大。其中基于xsrf的SQL注入技术，通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击；

4、而XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。

5、利用XSS漏洞，攻击者可以实现网站挂马、网站钓鱼、CSRF攻击等进一步攻击行为。

6、因此，安全专家建议，用户应立刻安装官方发布的最新补丁，重新部署安全系统及攻击防护。

【#Discuz被曝零日漏洞 企业应关注论坛安全性#】到此分享完毕，希望对大家有所帮助。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！