HDwiki管理員沒有後台文件和數據庫操作的權限,但是卻可以直接添加超級管理員賬號,而超級管理員權限很大,可以在後台進行上述操作,可能會引發一些安全問題.
如下圖是一個demo的頁面:
用demo到後台添加用戶,可以看到列表裡有超級管理員:
而且可以隨意添加管理員:
HDwiki超級管理員的權限很大,可以直接在後台操作文件和數據庫,
數據庫查詢操作:
還可以在線文件管理:
在線文件管理可以看到config.php文件:
網站漏洞修復方案:
臨時性的方案,建議hdwiki建站的朋友盡量不要設置管理員這個用戶組,刪除control目錄下的admin_fileftpmanage.php文件,我覺的沒必要在網站後台進行文件管理.
希望hdwiki權限管理更加完善,或許可以像discuz那樣,設置一些安全開關:
$_config['admincp']['forcesecques'] = 1;// 管理人員必須設置安全提問才能進入系統設置 0=否, 1=是[安全]
$_config['admincp']['checkip'] = 1; // 後台管理操作是否驗證管理員的 IP, 1=是[安全], 0=否。
$_config['admincp']['runquery'] = 0; // 是否允許後台運行 SQL 語句 1=是 0=否[安全]
$_config['admincp']['dbimport'] = 0; // 是否允許後台恢復論壇數據 1=是 0=否[安全]
