这个人的目的是什么?谢谢楼主报告这个情况,帮助我们解决了一个设置错误。家园论坛当前已经解除了这个错误的设置。
导致这个问题的根本原因如下:
----------------------------------------------------
管理员日前在创建“新用户”这个组别时,不小心错误的赋予了这个组别一项特别的权限。如下图:
”编辑基本用户资料“
浏览附件540645
----------------------------------------------------------------
一位“有心”的论坛会员,发现并利用了这个漏洞,注册了一个名叫“ 大叔老矣?stillcanflirtwithdm” 的新用户, 从而获得了 ”编辑基本用户资料“ 的权限,然后多次反复编辑了 楼主的资料。
管理员谢谢楼主报告这个情况,帮助我们解决了一个设置错误。家园论坛当前已经解除了这个错误的设置。
导致这个问题的根本原因如下:
----------------------------------------------------
管理员日前在创建“新用户”这个组别时,不小心错误的赋予了这个组别一项特别的权限。如下图:
”编辑基本用户资料“
浏览附件540645
----------------------------------------------------------------
一位“有心”的论坛会员,发现并利用了这个漏洞,注册了一个名叫“ 大叔老矣?stillcanflirtwithdm” 的新用户, 从而获得了 ”编辑基本用户资料“ 的权限,然后多次反复编辑了 楼主的资料。
管理员
难道是这位有心的用户-大叔老矣、网红复出、Canada2019(都是家园老人小样的马甲)黑进了你们的管理员账号登陆系统?
抑或
丫本来就是论坛的秘密警察,没有头衔的版主,只是这次管理权限错放了,因为普通用户进入或修改任何与数据库管理有关的内容,你的后台都应该会报警提示的啊
而我们普通用户根本就没有你前面截屏的界面内容
哈
熊笨,怎么才能改用户名?前面说明了,这是因为管理员权限设置错误,导致所有论坛新注册的用户,有了1项(仅1项)版主的权限(编辑基本用户资料)。我上面贴的图片是管理员才有的权限和界面,管理员通过上面的错误设置,才导致所有论坛“新用户“有了这项权限,即编辑用户的资料信息,包括自定义头衔等。
你也可以通过上面的图注意到,除了编辑基本用户资料这项权限以外,它并没有查看IP,警告和封禁用户的权限,所以它能做的破坏是比较有限的,只能mess用户的头衔之类的。
这个“ 大叔老矣?stillcanflirtwithdm” ,作为新注册用户,看到这个,它不应该有的,版主才有的编辑菜单,就滥用了这项权力。其实所有论坛新用户,因为这项设置错误,一度都有这个权力,但只有这个ID,注意到,并滥用了这项权力。
这个ID和家园论坛没有任何关系,也没有所谓黑客进家园论坛系统的能力,除了这个编辑功能以外,也没有看到额外,不应该看到的信息。
至于这个ID的所有历史操作,论坛确实有记录(log),我们没有发现其它不当操作。
跟我想的一样,谢谢前面说明了,这是因为管理员权限设置错误,导致所有论坛新注册的用户,有了1项(仅1项)版主的权限(编辑基本用户资料)。我上面贴的图片是管理员才有的权限和界面,管理员通过上面的错误设置,才导致所有论坛“新用户“有了这项权限,即编辑用户的资料信息,包括自定义头衔等。
你也可以通过上面的图注意到,除了编辑基本用户资料这项权限以外,它并没有查看IP,警告和封禁用户的权限,所以它能做的破坏是比较有限的,只能mess用户的头衔之类的。
这个“ 大叔老矣?stillcanflirtwithdm” ,作为新注册用户,看到这个,它不应该有的,版主才有的编辑菜单,就滥用了这项权力。其实所有论坛新用户,因为这项设置错误,一度都有这个权力,但只有这个ID,注意到,并滥用了这项权力。
这个ID和家园论坛没有任何关系,也没有所谓黑客进家园论坛系统的能力,除了这个编辑功能以外,也没有看到额外,不应该看到的信息。
至于这个ID的所有历史操作,论坛确实有记录(log),我们没有发现其它不当操作。