Discuz 早已是站長朋友家喻户曉的程序了,幾乎所有玩過論壇的朋友都或多或少知道它,但也因為這麼大的平台 (騰訊旗下品牌) 也有着很嚴重的安全漏洞。
Discu! 是知名的開源論壇建站程序,在國內有着龐大的用户羣體,一旦發生安全漏洞,受影響網站將不計其數。
有烏雲白帽發現 Discuz! 程序存在一個安全 bug,在得知 UC_KEY 的情況下,可以輕鬆向受害站點寫入後門代碼,可對服務器進行滲透或者對網站進行篡改,掛馬。
UC_KEY 的泄漏主要有以下幾個途徑:
1. 整站打包備份被下載
2. 文件備份被下載
3.SVN 等源碼管理系統泄漏代碼
4 服務器入侵被提了 UC_KEY 用作後門等等
所以請站長們及時關注 Discuz! 安全更新,並且確保自身源碼安全,如果出現網站異常,並且查不到後門文件上傳途徑的,不妨更新下站點 UC_KEY 。
其實,在 Discuz 程序當中,存在着一個比管理員密碼還要牛的認證因素,那就是
我們所説的 UC_KEY,因為它可以讓多程序用户數據同步。