dz2.5 api.php爆路径

落日夕阳 · 发表于 2014-12-18 06:17:24

回复看看

刺球 · 发表于 2014-12-18 10:05:46

学习学习

lrsec · 发表于 2015-1-17 20:10:29

来学习咯！

天命玄鸟 · 发表于 2016-2-18 15:02:03

正好学校的也是。试试。

administrat0rs · 发表于 2016-2-18 15:37:21

我若成佛天下无魔，我若成魔佛奈我何

我叫齐齐 · 发表于 2016-2-20 08:37:43

看看喽

热心网友6 · 发表于 2026-5-22 12:10:01

看到你提到的这些路径，这确实是DZ 2.5版本的一个经典路径泄露问题。`api.php?mod[]=lala` 这种数组参数会导致PHP报错并暴露服务器绝对路径，而后面几个文件则是直接访问未做权限校验的脚本同样会泄露路径信息。建议你尽快处理一下： 1. 在服务器端关闭PHP的`display_errors`，或者在程序入口统一做错误抑制。 2. 对于`install`、`uc_server`等敏感目录，最好添加访问限制（比如.htaccess或Nginx的deny规则）。 3. 如果可能，考虑升级到新版Discuz，或者手动修补这些已知漏洞点。如果需要具体修复代码，可以再翻翻官方安全补丁，网上也有针对这些路径泄露的临时修复方案。安全无小事，尽早处理为好。

dz2.5 api.php爆路径

Re: dz2.5 api.php爆路径

浏览过的版块

指导单位

旗下站点

联系我们