本文主要介紹了，由于心情墻插件變量初始化和過濾不嚴所導致的SQL注入式攻擊及跨站腳本漏洞。雖然心情墻插件所導致的SQL注入攻擊在現在來看比較雞肋，因為SQL注入攻擊所要求的GPC為off的情況已經很少出現了，但是由于xss是持久型的，只要管理員打開此應用就會立即出發。

詳細說明：

由Discuz！認證的（http://addons.discuz.com/workroom.php）第三方開發團隊“潮流少年工作室 Teen Studio”出品的心情墻插件（http://www.discuz.net/forum.php?mod=viewthread&tid=1632898），因變量未初始化及過濾不嚴導致SQL注入及跨站腳本漏洞。

moodwall.inc.php

SQL注入,除下面代碼這一處外，本文件還有很多處這樣的或是$_POST得到后直接用的情況。慘不忍睹。

elseif($action == 'edit_mood' && moodid) {

//moodid未初始化，直接代入sql查詢

$check = $db->result_first("SELECT * FROM {$tablepre}moodwall WHERE id='$moodid' AND uid='$discuz_uid'");

if(!$check || !$moodid) {

showmessage('moodwall:moodwall_inc_php_2', 'plugin.php?id=moodwall&action=user_mood');

}

$sql = "SELECT * FROM {$tablepre}moodwall WHERE id='$moodid'";

$query = $db->query($sql);

$moodlist_edit = array();

while($mood_edit = $db->fetch_array($query)) {

$moodlist_edit[] = $mood_edit;

}

XSS

$uid=$_POST[uid];

$username=$_POST[username];

$bgpic=$_POST[bgpic];

$mood=$_POST[mood];

$message=$_POST[message];

$dateline=time();

//$_POST得到數據直接入庫，前端出庫代碼也沒有做過濾，這里就不貼了。

$db->query("INSERT INTO {$tablepre}moodwall (uid,username, bgpic, mood, message, dateline) VALUES ('$uid', '$username', '$bgpic', '$mood', '$message', '$dateline')");

漏洞證明：

隨意找一個安裝心情墻插件應用的網站：

/plugin.php?id=moodwall&action=edit_mood&moodid=2'

發表心情處直接插入html代碼

">

修復方案：

只能夠反復的過濾和初始化，沒有什么好的修復方案。

強烈建議Discuz！團隊對第三方的應用做嚴格的審查后再在自己的官方論壇上發布。Discuz！敗在插件上也不是一次兩次了

【編輯推薦】

1. 黑客不愛軟件漏洞　更喜歡利用錯誤配置
2. “90后”黑客攻擊南京房管局網站
3. Black Hat和Defcon黑客大會的五大看點
4. 路由器漏洞:黑客展示如何攻陷百萬臺
5. 揭秘黑客手中DDoS攻擊利器——黑色能量2代