摘要：近日，社区软件系统Discuz被曝出安全隐患，其DiscuzX2被指含有两个零日漏洞：SQL及XSS注入漏洞。

　　Discuz一直以良好的“安全性”为其主要发展优势，全部商业客户论坛的稳定安全运行向来是其引以为豪的例证。Discuz的自动屏蔽贴子、签名等中的恶意代码、跨站脚本攻击，及独有的全程操作记录也是被业界赞许的安全措施。
　　
　　但此次曝出的两个漏洞危害性都很大。其中基于xsrf的SQL注入技术，通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击；
　　
　　而XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。
　　
　　利用XSS漏洞，攻击者可以实现网站挂马、网站钓鱼、CSRF攻击等进一步攻击行为。
　　
　　责任编辑：Lily