[2008-33期]黑客自述 Discuz！挂马新招(图)

（文章来自电脑报2008年第33期F版）

博弈主题：攻击Discuz！论坛
技术难度：★★★★
重点知识：如何用新Discuz！漏洞来入侵

　　你是PHP版本Discuz！的管理员？你经常登录这种类型的论坛？现在你们要注意了，黑客找到了该类型论坛的漏洞，研究了一种新的SQL注入攻击，一旦注入成功即可获得用户或者管理员的账号和密码，也就可以顺利进入论坛后台，进行挂马或者盗取注册用户的个人资料，对网站和用户都造成巨大的安全威胁。

　　黑夜给我我黑色的眼睛，我却用它来当黑客。大家好，我是墨斗鱼，算是一名黑客吧（谁敢比我黑）！这里我给大家讲一种新的SQL注入攻击，利用的是Discuz！的漏洞。先八卦一下，这个漏洞并非本周曝光的，它在我们圈子里面流传了快一个月了。

　　最早发现该漏洞的老兄将漏洞的细节写在自己的博客上，并将日志设置成了隐藏，不过圈子内的人都是可以看的。没过多久，另外一个黑客入侵了这个日志，将里面的漏洞资料公布出来，这才导致最近针对Discuz！的SQL注入攻击增多。

　　这个漏洞的出现，意味着所有在PHP版本Discuz！论坛中注册的用户都将面对账号和密码被窃的危险，而论坛管理员也面临着同样的问题，一旦黑客利用管理员账号进入后台，就可能挂马、放毒，攻击网站的用户，伺机盗取他们的各种账号和密码。

更多报纸文章请点击文章列表页面：http://www.shudoo.com/newslist.html