在此向 DOS 8.3 短文件名安全问题提供者 @索马里的海贼 表示感谢,也希望更多的安全人员加入到维护Discuz! X程序安全的工作中来。
感谢 Coxxs @popcorner @DiscuzX @湖中沉 @LooTan 参与空 HOST 头问题讨论,感谢 @crisschan 反馈此问题,在此向上述相关人士表示感谢,也希望更多的安全人员加入到维护Discuz! X程序安全的工作中来。

描述此 Pull Request 的变更

新增 底层安全模块,缓解短文件名和空 Host 访问安全隐患

描述变更理由

由于安全问题所需要注重的点较多且站长往往不具有相关知识背景,因此难以做出完全安全、正确的配置。

本 PR 考虑到此问题,因此在主程序中新增了 “底层安全” 模块,可以在需要时自动检测底层配置安全性,并对不安全配置给出提示。

本期新增了引发问题的 DOS 8.3 短文件名以及空 HOST 头两个常见问题,后续可以根据相关问题继续添加检测项。欢迎各开发者积极献言献策。

对不向前兼容或涉及安全性变更的特殊说明

关联 Issue

#I10NG9:windows短文件名安全问题 数据库备份爆破
#I10NF6:windows短文件名安全问题 绕过附件收费