[漏洞]ThinkSNS严重漏洞--将全站崩溃
author: selfimpr
blog: http://blog.csdn.net/lgg201
mail: lgg860911@yahoo.com.cn
漏洞描述: 未对需要暴露在web环境下的脚本做目录结构上的规划, 访问特定脚本, 导致全站依赖的缓存系统崩溃, 全站崩溃.
实现方式: 由于造成后果太严重, 实现步骤不细说, 有兴趣的朋友可以根据描述研究. 造成后果请自己负责. 具体细节将发送给thinksns官方进行相应处理.
防御方式: 只将必要的脚本暴露给web用户, 比如index.php, 其他所有脚本让外部环境均无法访问.
道歉: 测试时造成http://www.51intern.com/和http://t.thinksns.com全站崩溃, 已经发送邮件给相应负责人, 并表示抱歉.
