距上次5.24发布后,
根据乌云白帽子兄在js代码的eval函数中构造跨站攻击,获得管理权限
接下来的25,26,27,28,29都是在不断测试如何使用代码防止跨站请求攻击
后来采用了随机字符串,主要用在后台控制里。
31,32版本主要在于严格书写过滤参数,字符串用addslashes,数字用intval
33版增加了一个缓存插件,并且发现缓存插件上的代码没有写验证,有效防止直接浏览器地址栏构造插件访问路径操作数据库
34版本修复了后台图表“线条说明文字”不随Y轴变化而变化的BUG,并且将一些alert弹出框替换为用户界面友好的错误提示
35版本,根据白帽子兄的测试,可以伪造IP绕过注册限制并且可以逐字符测试管理员数据表。所以加入验证合法IP代码
36版,修复引用回复也要匹配最少10字符的限制,一定程度上防止一些无意义的垃圾回帖
37,38版 禁止访问缓存文件夹。
经过不断修改,系统在安全性上已经有很大的提升了
系统安装步骤一览:http://bbs.youyax.com/Content-index-id-5416.aspx
下载地址:http://www.youyax.com/
demo地址:http://bbs.youyax.com/
来自:开源中国社区
