97久久国产亚洲精品超碰热,成人又色又爽的免费网站,色偷偷女人的天堂a,男女高潮喷水在线观看,国内精品一线二线三线区别在哪里

Discuz! 官方交流社區(qū)

標(biāo)題: 升級(jí)到最新的x3.4 gbk 有回復(fù)和附件下載漏洞 [打印本頁]
作者: dhfdg0964    時(shí)間: 2019-12-10 16:39
標(biāo)題: 升級(jí)到最新的x3.4 gbk 有回復(fù)和附件下載漏洞
本帖最后由 dhfdg0964 于 2019-12-12 18:28 編輯

通過訪問一系列如下的地址
https://域名/forum.php?mod=viewthread&tid=16911&viewpid=980301&inajax=1&ajaxtarget=post_980301  

便可以直接查看需要回復(fù)才可見的內(nèi)容,

而且設(shè)置價(jià)格的附件他也可以直接下載  (由于我不知道原理,此BUG無法復(fù)現(xiàn),但是我百分百確定是有此漏洞的)

已升級(jí)到最新的3.4 gbk 20191201



作者: 老周部落    時(shí)間: 2019-12-11 17:06
設(shè)置價(jià)格的附件 是指帖子有價(jià)格還是附件有價(jià)格?
作者: dhfdg0964    時(shí)間: 2019-12-11 21:08
老周部落 發(fā)表于 2019-12-11 17:06
設(shè)置價(jià)格的附件 是指帖子有價(jià)格還是附件有價(jià)格?

附件有價(jià)格
作者: 老周部落    時(shí)間: 2019-12-12 12:29
dhfdg0964 發(fā)表于 2019-12-11 21:08
附件有價(jià)格


我這里測(cè)試了一下,用用戶賬號(hào)訪問 forum.php?mod=viewthread&tid=3&viewpid=3&inajax=1&ajaxtarget=post_980301 查看帖子內(nèi)容,發(fā)現(xiàn)隱藏內(nèi)容的顯示和附件收費(fèi)提示是正常的,具體請(qǐng)見下圖。

關(guān)于附件下載的問題,我不是官方人員,我看不到您的日志。目前附件這一塊沒有什么已經(jīng)被報(bào)告的Bug。

唯一的問題就是目前如果用戶將收費(fèi)附件的最終URL發(fā)送給其他用戶,其他用戶可以憑URL直接下載(形如 forum.php?mod=attachment&aid= )這種,不過這個(gè)算不算Bug還需要進(jìn)一步探討。

(, 下載次數(shù): 70)


作者: dhfdg0964    時(shí)間: 2019-12-12 17:39
老周部落 發(fā)表于 2019-12-12 12:29
我這里測(cè)試了一下,用用戶賬號(hào)訪問 forum.php?mod=viewthread&tid=3&viewpid=3&inajax=1&ajaxtarget=post ...

不是的  我已確定是有下載漏洞  這個(gè)鏈接只是他訪問的其它一個(gè)  日志里訪問了好多鏈接的   
作者: cold    時(shí)間: 2020-5-8 17:02
我也是無語了,這個(gè)漏洞14年就被爆出來了,現(xiàn)在都沒有修復(fù)或者發(fā)補(bǔ)丁
作者: 老周部落    時(shí)間: 2020-5-8 22:27
本帖最后由 老周部落 于 2020-5-8 22:30 編輯
cold 發(fā)表于 2020-5-8 17:02
我也是無語了,這個(gè)漏洞14年就被爆出來了,現(xiàn)在都沒有修復(fù)或者發(fā)補(bǔ)丁

請(qǐng)?zhí)峁┰贒iscuz! X3.4 20191201或更高版本上完整的復(fù)現(xiàn)方式,能復(fù)現(xiàn)的話我聯(lián)系人來修。
如果最新版本不能復(fù)現(xiàn),那就請(qǐng)您升級(jí)最新版本。如果您不能升級(jí)最新版本,那就只能您自行對(duì)照修改了。

作者: cold    時(shí)間: 2020-5-9 17:14
研究好幾天都沒有找到什么解決的辦法
作者: 挖奇樂    時(shí)間: 2020-5-30 07:33
關(guān)注中!期待官方答復(fù)
作者: sbin6742    時(shí)間: 2021-6-27 12:30
我升級(jí)到了3.4 gbk 20210520版本 貌似還是有這個(gè)問題,莫名其妙的增加下載次數(shù),請(qǐng)問樓主找到問題原因了嗎?
作者: sbin6742    時(shí)間: 2021-6-27 12:39
通過分析發(fā)現(xiàn),從來沒被下載過的附件不會(huì)有這個(gè)問題,只要下載過,不管管理員還是普通會(huì)員,只要下載過這個(gè)附件,那么 就是莫名的增加下載次數(shù),并且積分購買記錄里沒有記錄。
作者: 老周部落    時(shí)間: 2021-6-27 23:55
本帖最后由 老周部落 于 2021-6-28 00:07 編輯
sbin6742 發(fā)表于 2021-6-27 12:39
通過分析發(fā)現(xiàn),從來沒被下載過的附件不會(huì)有這個(gè)問題,只要下載過,不管管理員還是普通會(huì)員,只要下載過這個(gè) ...

請(qǐng)?zhí)峁┰贒iscuz! X3.4 20210520或更高版本上完整的復(fù)現(xiàn)方式,能復(fù)現(xiàn)的話我聯(lián)系人來修。
另外同一個(gè)人付費(fèi)之后是可以下載多次的,如果同一個(gè)人下載多次下載次數(shù)增加這不是 Bug 。
另外站點(diǎn) authkey 泄露也有可能導(dǎo)致這種問題,請(qǐng)知悉。

作者: allthebest    時(shí)間: 2021-6-29 00:19
只要下載過,不管管理員還是普通會(huì)員,只要下載過這個(gè)附件,那么 就是莫名的增加下載次數(shù),并且積分購買記錄里沒有記錄。


這情況,同一管理員與普通會(huì)員,下載同一個(gè)附件,可下載N次,但只購分一次,正常。與升級(jí)無關(guān)。
作者: dashen    時(shí)間: 2021-6-29 01:08
sbin6742 發(fā)表于 2021-6-27 12:30
我升級(jí)到了3.4 gbk 20210520版本 貌似還是有這個(gè)問題,莫名其妙的增加下載次數(shù),請(qǐng)問樓主找到問題原因了嗎 ...

早就沒有這種漏洞了,下載量和購買量不是一回事,多次下載會(huì)多次記錄,使用迅雷之類的多線程工具下載,次數(shù)會(huì)更多,然后下載次數(shù)更新不一定是實(shí)時(shí)的



歡迎光臨 Discuz! 官方交流社區(qū) (http://r615.cn/) Powered by Discuz! X5.0