本文主要介紹了，由于心情墻插件變量初始化和過濾不嚴(yán)所導(dǎo)致的SQL注入式攻擊及跨站腳本漏洞。雖然心情墻插件所導(dǎo)致的SQL注入攻擊在現(xiàn)在來看比較雞肋，因為SQL注入攻擊所要求的GPC為off的情況已經(jīng)很少出現(xiàn)了，但是由于xss是持久型的，只要管理員打開此應(yīng)用就會立即出發(fā)。

詳細(xì)說明：

由Discuz！認(rèn)證的（http://addons.discuz.com/workroom.php）第三方開發(fā)團(tuán)隊“潮流少年工作室 Teen Studio”出品的心情墻插件（http://www.discuz.net/forum.php?mod=viewthread&tid=1632898），因變量未初始化及過濾不嚴(yán)導(dǎo)致SQL注入及跨站腳本漏洞。

moodwall.inc.php

SQL注入,除下面代碼這一處外，本文件還有很多處這樣的或是$_POST得到后直接用的情況。慘不忍睹。

elseif($action == 'edit_mood' && moodid) {

//moodid未初始化，直接代入sql查詢

$check = $db->result_first("SELECT * FROM {$tablepre}moodwall WHERE id='$moodid' AND uid='$discuz_uid'");

if(!$check || !$moodid) {

showmessage('moodwall:moodwall_inc_php_2', 'plugin.php?id=moodwall&action=user_mood');

}

$sql = "SELECT * FROM {$tablepre}moodwall WHERE id='$moodid'";

$query = $db->query($sql);

$moodlist_edit = array();

while($mood_edit = $db->fetch_array($query)) {

$moodlist_edit[] = $mood_edit;

}

XSS

$uid=$_POST[uid];

$username=$_POST[username];

$bgpic=$_POST[bgpic];

$mood=$_POST[mood];

$message=$_POST[message];

$dateline=time();

//$_POST得到數(shù)據(jù)直接入庫，前端出庫代碼也沒有做過濾，這里就不貼了。

$db->query("INSERT INTO {$tablepre}moodwall (uid,username, bgpic, mood, message, dateline) VALUES ('$uid', '$username', '$bgpic', '$mood', '$message', '$dateline')");

漏洞證明：

隨意找一個安裝心情墻插件應(yīng)用的網(wǎng)站：

/plugin.php?id=moodwall&action=edit_mood&moodid=2'

發(fā)表心情處直接插入html代碼

">

修復(fù)方案：

只能夠反復(fù)的過濾和初始化，沒有什么好的修復(fù)方案。

強烈建議Discuz！團(tuán)隊對第三方的應(yīng)用做嚴(yán)格的審查后再在自己的官方論壇上發(fā)布。Discuz！敗在插件上也不是一次兩次了

【編輯推薦】

1. 黑客不愛軟件漏洞　更喜歡利用錯誤配置
2. “90后”黑客攻擊南京房管局網(wǎng)站
3. Black Hat和Defcon黑客大會的五大看點
4. 路由器漏洞:黑客展示如何攻陷百萬臺
5. 揭秘黑客手中DDoS攻擊利器——黑色能量2代