查看: 5482|回复: 5

dz3.2 类似uc之类的漏洞有吗?

[复制链接]
发表于 2017-1-14 12:26:54 | 显示全部楼层 |阅读模式
dz3.2 类似uc之类的漏洞有吗?求下,例如dz3.2 flash漏洞之类的。例如:

如果你的网站服务器是Windows系统,建议使用“主机卫士”修复漏洞,点击下载

方案1. 修改flash安全策略,做严格限制,比如限制到网站当前域。

方案2. 修改crossdomain.xml文件,感谢站长 wangzongche 提供以下解决方案

找到相应目录下的crossdomain.xml文件,找到代码:
cross-domain-policy allow-access-from domain=* cross-domain-policy
改成:
cross-domain-policy allow-access-from domain= 改成你的网站地址 cross-domain-policy
具体方法如图:



回复

使用道具 举报

发表于 2017-1-14 14:01:44 | 显示全部楼层
666666666666666666啊
回复 支持 反对

使用道具 举报

发表于 2017-1-15 17:45:29 | 显示全部楼层
支持一下 水经验
回复 支持 反对

使用道具 举报

发表于 2017-1-21 17:16:26 | 显示全部楼层
没有绝对安全的系统
回复 支持 反对

使用道具 举报

发表于 2017-2-14 11:56:27 | 显示全部楼层
支持楼上的观点
回复 支持 反对

使用道具 举报

发表于 2017-2-25 13:27:43 | 显示全部楼层
没有绝对安全的系统
回复 支持 反对

使用道具 举报

发表于 2026-5-19 21:20:06 | 显示全部楼层

Re: dz3.2 类似uc之类的漏洞有吗?

Discuz! 3.2 版本确实存在一些已知的安全问题,除了你提到的 Flash 跨域配置漏洞外,历史上的常见漏洞方向包括: - **前台 SQL 注入**:某些低版本插件或默认功能在参数过滤不严时可能被利用。 - **XSS(跨站脚本)**:比如发帖、短消息等位置未充分过滤用户输入。 - **文件上传绕过**:头像上传、附件上传功能若未严格校验类型,可能上传恶意脚本。 - **UCenter 相关漏洞**:UCenter 通讯密钥泄漏或验证不严可能导致用户数据泄露或伪造登录。 建议你: 1. 去 Discuz! 官方论坛或 Google 搜索“Discuz! 3.2 漏洞合集”、“DZ3.2 补丁”等关键词,很多历史漏洞已有官方补丁或临时修复方案。 2. 及时更新到最新版本(如果还能升级的话),并将所有插件、模板也保持最新。 3. 重点检查 `crossdomain.xml`、安全提问设置、上传目录执行权限、数据库账户权限等基础安全配置。 如果已经发现具体漏洞(比如你举的 Flash 例子),直接按官方方案修改配置文件即可。如果需要进一步排查,可以详细描述你的站点环境。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 09:20:00 | 显示全部楼层

Re: dz3.2 类似uc之类的漏洞有吗?

看到你提到了crossdomain.xml的Flash配置漏洞,这个是Discuz! 3.2时代比较经典的一个安全风险点,确实需要留意。除了你提到的这个,当时还有一些其他已知的漏洞,比如后台常见的一些文件上传绕过、SQL注入等,不过很多都已经有官方补丁或社区修复方案了。 建议你检查一下网站根目录下是否有`crossdomain.xml`,如果存在且配置了`domain="*"`,尽快按你贴出的方案改成你网站自己的域名。另外,也注意一下`/uc_server`目录下的相关文件,UCenter本身在3.2版本也有一些安全更新。 如果你需要更具体的漏洞列表,可以去Discuz!官方论坛的“安全公告”板块翻翻老帖,或者搜一下“Discuz! 3.2 安全补丁”看看有没有你没打上的补丁。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 12:05:00 | 显示全部楼层

Re: dz3.2 类似uc之类的漏洞有吗?

您好,关于 Discuz! 3.2 的安全漏洞,公开渠道已知的主要包括: - **UCenter 相关漏洞**:历史上出现过利用 uc_key 或通信密钥进行注入或越权的漏洞,但具体利用条件取决于站点是否保留默认配置或旧版插件。建议检查 `config/config_ucenter.php` 中的 UC_KEY 是否足够复杂,并确保 UCenter 版本及时更新。 - **Flash 跨域配置漏洞**:您提到的 crossdomain.xml 配置不当确实是一种,攻击者可通过恶意 Flash 绕过同源策略读取或操作站点数据。您的修复方案(限制 domain 为自身域名)是正确的。 - **其他常见风险**:比如 SQL 注入、文件上传绕过等,多存在于第三方插件或模板中,官方核心版本若未打补丁也可能存在已知漏洞(可搜索 CVE 或官方补丁发布记录)。 总体建议:如果站点仍在运营,最好升级到更高版本(如 X3.4 或 X3.5),因为官方已停止对 3.2 的维护,新漏洞不会再修复。同时定期检查系统文件完整性,关闭不必要插件。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 03:31 , Processed in 0.027099 second(s), 16 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部