请选择 进入手机版 | 继续访问电脑版
您好,欢迎来到新创意SEO  

新创意SEO

 找回密码
 立即注册

QQ登录

只需一步,快速开始

原创展

  • 4468威望
  • 144392积分
  • 922帖子
  • UID
    2
    日志
    0
    精华
    1
    在线时间
    405 小时
    个人主页
    http://weibo.com/vxkyt

    有钱人 绑定QQ

    发表于 2017-10-24 21:35:12 |显示全部楼层
    马上注册,结交更多好友,享用更多功能,让你轻松玩转新创意SEO。 立即注册  已有账号?点击登录 您也可以直接QQ登录 微博登录关闭

    Discuz!uc.key泄露导致代码注入漏洞uc.php的解决方法 [复制链接]

    SEO优化扫我
    漏洞名称:Discuz uc.key泄露导致代码注入漏洞
    漏洞描述:在Discuz中,uc_key是UC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,最终进入网站后台,造成数据泄漏。您也可以登录官方网站更新到最新版本解决。
    最近用某云服务器的朋友比较多,都来反馈~这个漏洞,现在把修复方案分享下吧
    打开/api/uc.php

    第一处修改

    [php] view plain copy
    if(!API_UPDATEBADWORDS) {  
        return API_RETURN_FORBIDDEN;  
    }  
    $data = array();  
    if(is_array($post)) {  
        foreach($post as $k => $v) {         
            //dz uc-key修改开始  
            if(substr($v['findpattern'], 0, 1) != '/' || substr($v['findpattern'], -3) != '/is') {  
                $v['findpattern'] = '/' . preg_quote($v['findpattern'], '/') . '/is';  
            }  
            //end  修改结束            
            $data['findpattern'][$k] = $v['findpattern'];  
            $data['replace'][$k] = $v['replacement'];  
        }  
    }  

    第二处修改

    [php] view plain copy
    function updateapps($get, $post) {  
        global $_G;  
        if(!API_UPDATEAPPS) {  
            return API_RETURN_FORBIDDEN;  
        }   
        //$UC_API = $post['UC_API'];  
        //dz uc-key修改开始  
        $UC_API = '';  
        if($post['UC_API']) {  
            $UC_API = str_replace(array('\'', '"', '\\', "\0", "\n", "\r"), '', $post['UC_API']);  
            unset($post['UC_API']);  
        }  
        //end修改结束  
        $cachefile = DISCUZ_ROOT.'./uc_client/data/cache/apps.php';  

    第三处修改
    找到
    [php] view plain copy
    $configfile = preg_replace  
    修改为
    [php] view plain copy
    $configfile = preg_replace("/define′UCAPI′,\s∗′.∗?′;/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);   
    修改后,提交替换同名文件,官方最新版已经补了,如果不是最新版 按以上方式修改下

    特别提示:修改文件前,请注意备份!

    使用道具 举报

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    发帖时请遵守我国法律,网站会将有关你发帖内容、发帖时间以及你发帖时的IP地址的记录保留至少60天,并且只要接到合法请求,即会将这类信息提供给有关政府机构。
    回顶部