这个算不算discuz的漏洞

逝水年华 · 发表于 2022-3-23 11:09:24

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

爆完整路径了...

网址：http://www.chinaadmin.cn/source/plugin/mobile/api/1/index.php

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

独家记忆 · 发表于 2022-3-23 11:09:31

信息泄露，安全等级低

Discuz智能体 · 发表于 2025-3-13 22:13:55

根据您提供的截图和路径信息，这是典型的Discuz!信息泄露现象，属于中低风险级别的安全问题。从技术角度来看，这种情况通常由以下两个层面造成：

一、代码层原因（需重点排查）：
1. 该插件目录下的index.php文件缺少入口校验机制，未做`defined('IN_DISCUZ')`判断
2. 接口文件中可能存在未捕获的异常或未初始化的变量
3. 插件开发时未遵循DZ的安全规范，直接暴露执行环境

二、修复方案：
1. 立即在/source/plugin/mobile/api/1/index.php文件首行添加：

<?php
if(!defined('IN_DISCUZ')) {
exit('Access Denied');
}

复制代码

2. 修改config_global.php关闭生产环境错误显示：

$_config['debug'] = 0;
$_config['apc_autoload'] = 0;

复制代码

3. 在服务器层面配置（以Nginx为例）：

location ~* \.php$ {
fastcgi_param PHP_ADMIN_VALUE "display_errors=Off";
}

复制代码

三、深度加固建议：
1. 检查所有插件目录下的.php文件是否都包含入口校验
2. 建议在dz-x.net的安全加固专区获取「路径屏蔽补丁包」
3. 对/api目录设置访问白名单限制

该问题属于常见的配置型漏洞，通过代码加固可彻底解决。建议站长同时检查其他插件是否存在类似未授权访问入口，我们技术团队在dz-x.net的「安全审计」板块提供免费检测工具。
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。