Discuz 早已是站长朋友家喻户晓的程序了,几乎所有玩过论坛的朋友都或多或少知道它,但也因为这么大的平台 (腾讯旗下品牌) 也有着很严重的安全漏洞。
Discu! 是知名的开源论坛建站程序,在国内有着庞大的用户群体,一旦发生安全漏洞,受影响网站将不计其数。
有乌云白帽发现 Discuz! 程序存在一个安全 bug,在得知 UC_KEY 的情况下,可以轻松向受害站点写入后门代码,可对服务器进行渗透或者对网站进行篡改,挂马。
UC_KEY 的泄漏主要有以下几个途径:
1. 整站打包备份被下载
2. 文件备份被下载
3.SVN 等源码管理系统泄漏代码
4 服务器入侵被提了 UC_KEY 用作后门等等
所以请站长们及时关注 Discuz! 安全更新,并且确保自身源码安全,如果出现网站异常,并且查不到后门文件上传途径的,不妨更新下站点 UC_KEY 。
其实,在 Discuz 程序当中,存在着一个比管理员密码还要牛的认证因素,那就是
我们所说的 UC_KEY,因为它可以让多程序用户数据同步。