找回密码
 立即注册

QQ登录

只需一步,快速开始

Discuz!X2/2.5弱口令破解漏洞 修复方案之一


Discuz!X2/2.5弱口令破解漏洞
WASC Threat Classification
发现时间:2013-02-28
漏洞类型:其他
所属建站程序:Discuz
所属服务器类型:通用
所属编程语言:PHP
描述:在开启登录验证码的情况下,可绕过登录验证码测试弱口令。GET直接提交即可登录。
危害: 存在漏洞可能导致,网站部分弱口令用户的账号被盗,导致用户信息泄露,并被利用传播恶意广告等信息,给用户和网站造成不好的影响,造成不必要的损失。

在Discuz x2 或 Discuz X2.5安装目录下找到member.php,用文本编辑软件打开,找到以下代码
  1. require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';
复制代码

在这行代码上面另起一行,添加如下代码
  1. if($mod=='logging'){
  2.         $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
  3.         if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
  4. }
复制代码

修改完后然后保存文件,重新上传到服务器

本教程由无限星辰工作室CRX349独家整理和提供,转载请注明地址,谢谢。本文地址:https://xmspace.net/thread-222-1-1.html
无限星辰工作室  好集导航 Discuz全集下载  星辰站长网  集热爱361  一品文学  手机小游戏合集   海外空间网 星辰api  星辰支付二维码管理平台 LOT智能硬件聚合平台 阿里云服务器 腾讯云服务器
服务Discuz!建站|DiscuzQ配置|二开|小程序|APP|搬家|挂马清理|防护|Win/Linux环境搭建|优化|运维|
服务理念:专业 诚信 友好QQ842062626 服务项目 Q群315524225

发表于 2014-8-18 12:34:01 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 0 条回复!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

美图秀

    • 自建远程桌面服务器 rustdesk
    • Discuz!x3.4 账号保镖 自动冻结账号无效解
    • PVE换主板后 网络丢失解决方法
    • Kvm 虚拟机迁移到PVE里面
    • Discuz!x3,4 阿里云DCDN配置获取客户端ip
拖动客服框
Online Service
点击这里给我发消息
点击这里联系我们
微信扫一扫
在线客服
快速回复 返回顶部 返回列表