360网站安全平台协助Discuz！修复漏洞

梦里的秘密 · 2013-5-3 21:38:06

　　360网站安全检测平台透露，该平台近期协助国内著名建站系统Discuz！修复两处安全漏洞，并获得Discuz！官方致谢。据介绍，这两处漏洞分别由技术高手“passer_by”和“mark_team”提交给360网站安全漏洞悬赏“库带计划”，从而推动Discuz！快速修复了漏洞，建议广大采用Discuz！建站系统的网站和社区尽快安装补丁。

　　图：Discuz！官网推出漏洞补丁
　　公开数据显示，Discuz！系统拥有11年历史和200多万网站用户，是国内市场占有率最高的社区建站系统，众多知名社区均使用该系统建立网站。此次360报告给Discuz！官方的漏洞存在于最新的Discuz!NT和Discuz!2.5两个版本中，一旦被黑客利用，大批网站将面临黑客攻击入侵的风险。360协助Discuz！修复漏洞，有助于国内百万级网站提升防黑能力。
　　360网站安全工程师介绍说，此次360协助Discuz!修复的漏洞均为XSS楼，包括Discuz！NT版本在显示标题列表处存在2个参数问题，导致出现XSS漏洞；此外，Discuz!2.5版本发帖上传图片处，在描述图片处未进行过滤，导致出现XSS存储型漏洞。而XSS漏洞是比较常见的网站漏洞类型，可能被黑客利用劫持用户帐号、实施钓鱼等，具有一定威胁。
　　360“库带计划”是国内首个第三方漏洞付费收录平台，以现金奖励方式征集开源建站系统漏洞，单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来，360网站安全检测平台已经收集了包括Discuz！、PHPWIND、DEDECMS、PHPCMS、ShopEX等多个知名建站系统的漏洞，并协助厂商及时修复。
　　目前，Discuz！官网已经发布漏洞补丁，360网站安全检测平台也第一时间向注册用户发送了告警邮件，提醒站长们尽快打补丁;同时建议网站站长们免费启用360网站卫士，可以在官方补丁发布前有效防范各种0day漏洞攻击。

		自动登录	找回密码
密码			成为会员