【注意】安装插件存在风险，安全隐患不容忽视（公布4款高危插件）

cnteacher

　　根据近期我们接到的论坛社区被入侵的案例来看，由于插件造成的论坛被入侵事例正在呈上升趋势。

　　由于Discuz! 本身具有较高的安全性，加之论坛程序自身的不断完善，被攻击和利用的几率越来越低。然而，很多站点出于自身的需求，安装了各种各样的插件。大家仅注重插件的表面功能，不懂代码或者无暇细细研读代码，从而导致论坛存在越来越多的隐患。插件的脆弱性已经引起一些黑客（攻击者）的兴趣。

　　目前来看，插件的不安全因素主要存在于四个方面：

1、不顾效率，大量安装各种插件
        隐蔽性：★   可攻击性：★★★★  危害性：★★

　　一些插件仅仅注重功能，程序代码效率极低，有些站长盲目安装插件，从而造成论坛对服务器负担越来越大，如果利用专用工具频繁访问某些插件，极有可能导致服务器瘫痪，导致论坛无法访问。


2、盲目安装，随意卸载造成深层隐患
        隐蔽性：★★★★★ 可攻击性：★★ 危害性：★★★★

　　某些站长由于看到一些插件功能很好，草率的进行了安装，事后发现并不适合自己的论坛，又进行了卸载。某些插件如果是完整的，并没有安全问题，但是如果卸载不干净，会导致程序中存在有残留的代码，这些代码就像是定时炸弹，随时会成为论坛的杀手。不但影响论坛的安全，甚至可能影响到今后的顺利升级。


3、插件质量堪忧，直接威胁论坛安全
        隐蔽性：★★★ 可攻击性：★★★★ 危害性：★★★★★

　　一些插件由于制作比较粗糙，仅仅可以完成功能，但很多地方禁不住推敲，甚至程序存在逻辑问题。这些插件轻则导致会员属性异常（如积分、金钱、威望狂涨），重则可导致会员权限提升，甚至获取管理员权限。


4、好心办坏事，谨慎插件升级
        隐蔽性：★★★★　可攻击性：★★★★　危害性：★★★★★

　　一些插件仅仅适合对应的版本，但是一些“好心人”未经严格测试使用在高版本的论坛程序上。 由于插件大多属于业余制作，插件原作者不提供后期维护和技术支持，一旦论坛程序升级，这些插件就无法使用。一些站长经过简单修改，另其可以工作在更高版本上。殊不知，由于论坛某些核心体系的变更，如果插件仅仅是简单的适应性修改，很有可能埋下隐患，成为黑客攻击的目标。

　　      
         针对以上问题，我希望站长在选择插件的时候进行仔细斟酌，审慎定夺。
      本文以及本人无意打击饱含热情的插件作者，对于能够把自己的劳动成果无偿奉献出来的朋友，我由衷的钦佩并感谢备至。我希望能够有更多、更优秀、更安全的插件推出，把论坛程序打造的尽善尽美。

      

以下公布四款高危插件，由于涉及站点颇广，对于问题细节不再进行过多的描述，建议自行修补或者卸载插件。

1. 【银行】 危害：★
建议: 千万不要把银行行长的职务设置给非管理员

2. 【许愿池】危害： ★★★★★
建议立即删除此插件所有文件！！！

3. 【社区婚姻 1.0】危害： ★★★★★
建议立即删除此插件所有文件！！！

4. 【宠物】危害： ★★★★
建议立即关闭此系统！

潇潇冬宇

sofa！

这个沙发抢得爽呀，广告招租~~~~~

[ 本帖最后由 潇潇冬宇 于 2006-10-8 21:04 编辑 ]

Clwarm

支持老师哦哦哦

Nameless

我代表一些辛苦写插件的人(不包括我),
小小的B4一下楼主.

纳米

我们伟大可爱亲和的王老师号召我们:
从今天开始, 做到以下几点:
1. 不安装任何插件;
2. 也不卸载在自己论坛现存的插件;
3. 不写任何插件;
4. 不收集不整理任何插件;
5. 任何dz的论坛关闭插件区;
6. 今后的所有功能全部向官方提出由官方集成.

。貓Ｂ。

推!!!  支持各位寫程式的人!!! 辛苦了 !! :)

Nameless

另,
DZ从来没有发表过关于插件规范方面的贴子.
这个贴子可以说是始无前列的..
开天辟地的
CT真是太伟大了./
(我先吐去了,各位继续.)

潇潇冬宇

原帖由 纳米 于 2006-10-8 21:02 发表
我们伟大可爱亲和的王老师号召我们:
从今天开始, 做到以下几点:
1. 不安装任何插件;
2. 也不卸载在自己论坛现存的插件;
3. 不写任何插件;
4. 不收集不整理任何插件;
5. 任何dz的论坛关闭插件区;
6. 今后 ...

很有道理

tcbxh2008

功能不多不好玩的

纳米

我们定当坚决遵循围绕着伟大的王老师的dz开发小组的倡议, 做到以上各点, 坚决如抵制日货一般抵制插件.

(补充: 什么时候能够真正的完全抵制日货了, dz的广大群众就能坚决抵制dz的插件了)