Discuz!X2/2.5弱口令破解漏洞 修复方案之一
Discuz!X2/2.5弱口令破解漏洞
WASC Threat Classification
发现时间:2013-02-28
漏洞类型:其他
所属建站程序:Discuz
所属服务器类型:通用
所属编程语言:PHP
描述:在开启登录验证码的情况下,可绕过登录验证码测试弱口令。GET直接提交即可登录。
危害: 存在漏洞可能导致,网站部分弱口令用户的账号被盗,导致用户信息泄露,并被利用传播恶意广告等信息,给用户和网站造成不好的影响,造成不必要的损失。
在Discuz x2 或 Discuz X2.5安装目录下找到member.php,用文本编辑软件打开,找到以下代码
require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';
在这行代码上面另起一行,添加如下代码
if($mod=='logging'){
$_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}
修改完后然后保存文件,重新上传到服务器上
页:
[1]