Discuz X2 防黑墙插件，信不信他可以保护你！反正我信了

防黑边界防御，可以做到什么？我给大家举几个插件的例子，这些插件曾经因为”前台运行后台”的漏洞，造成一系列安全问题。在Saion云墙（已停止维护）中，收录的40%的漏洞是后台程序前台化执行的漏洞。

=======漏洞危害简介=======
1. DST 团队展示 内容被任意修改漏洞（invmod提供资料）
invmod仍然给我们提供了一个例子：http://www.joymeng.com/plugin.php?id=dst_groupshow:group_show
该漏洞已被修复：https://www.discuz.1314study.com/thread-16801-1-1.html
由于后台程序判断不严密（前台访问后台），使得后台程序被前台化执行，设置内容可被任意修改。

2. 团购特殊主题 论坛帖子被清空漏洞（invmod提供资料）
invmod的资料帖：https://www.discuz.1314study.com/thread-16800-1-1.html
该漏洞已被修复（请使用该插件的同学及时升级到最新版）：https://www.discuz.1314study.com/thread-16799-1-1.html
由于后台程序判断不严密（前台访问后台），使得后台程序被前台化进行，网站帖子可随外界要求被清理。

在参考了“插件安全审核（初阶）”（https://www.discuz.1314study.com/thread-16785-1-1.html）后，我们觉得出一个补丁型程序防止此类漏洞发生是有必要的。

========安装方法===========
安装方法：
1. 下载本插件，解压后将pluginsecurity_incfix目录上传到source/plugin
2. 后台安装本插件，并开启使用。
3. 测试一下：http://您的网站地址/plugin.php?id=pluginsecurityfortest，若看到一行Access Denied，说明插件已经生效。

========Q/A===========
Q：安装这个插件后，我是否会有信息泄露？
A：该插件并非云应用，不与云端联系，不从云端下载数据，不从云端上传数据，所以不会泄露关键信息。

Q：这个插件会使我的网站变慢吗？
A：不能说肯定没有，但是平均的增加运行时间还不到0.0005s（实测），消耗一点点资源换安全是值得的，再说了，你的服务器不至于满负载了吧~？

Q：这个插件会出现冲突吗？
A：这种可能很小，但不能说绝对没有。如果您在正常使用插件时看到“Access Denied”，说明确实出现了冲突，此时建议您停用本插件。

Q：该插件需要频繁更新吗？
A：现在还没有更新过，不过由于这种漏洞比较典型和固定，一般来说，可能再也不会更新。系统本身也不会主动更新。

Q：invmod是黑客，我可以相信他吗？
A：那你就问问插件安全审核（http://t.qq.com/pluginsecurity）吧

pluginsecurity_incfix.rar (4.52 KB, 下载次数: 35)

2011-8-21 21:48 上传

点击文件名下载附件

44444444444444444

好东西啊  谢谢支持了

支持楼主了哦

强烈支持楼主ing……

这个不错呢！

真是难得给力的帖子啊。