无限星辰工作室-客户无限互联网动力之源

标题: Discuz!X2/2.5弱口令破解漏洞修复方案之一 [打印本页]

作者: crx349 时间: 2014-8-18 12:34
标题: Discuz!X2/2.5弱口令破解漏洞修复方案之一

Discuz!X2/2.5弱口令破解漏洞
WASC Threat Classification
发现时间：2013-02-28
漏洞类型：其他
所属建站程序：Discuz
所属服务器类型：通用
所属编程语言：PHP
描述：在开启登录验证码的情况下，可绕过登录验证码测试弱口令。GET直接提交即可登录。
危害：存在漏洞可能导致，网站部分弱口令用户的账号被盗，导致用户信息泄露，并被利用传播恶意广告等信息，给用户和网站造成不好的影响，造成不必要的损失。

在Discuz x2 或 Discuz X2.5安装目录下找到member.php，用文本编辑软件打开，找到以下代码

require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';

复制代码

在这行代码上面另起一行，添加如下代码

if($mod=='logging'){
$_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}

复制代码

修改完后然后保存文件，重新上传到服务器上

欢迎光临无限星辰工作室-客户无限互联网动力之源 (https://www.xmspace.net/)