老版本的Discuz问题,有些应用场景让人不得不使用老版本的程序,主要还是因为插件多。
Discuz!X2/2.5弱口令破解漏洞是什么?
这个弱口令破解漏洞存在与X2与2.5登录机制上,攻击者可以用软件批量拉取用户UID(获取用户列表。)
然后,通过下面这种形式的代码来进行弱密码测试。
member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls
当发现使用弱密码的账号,会登录其账号发布一些非法的信息。
弱口令破解漏洞怎么解决?
使用一句代码就可以这个问题,在Discuz x2 或 Discuz X2.5安装目录下找到member.php
找到以下代码
require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';
在这段代码的 上边 ,添加下方的代码:
if($mod=='logging'){
$_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}
修改之后保存,上传覆盖即可。
注:一些安全扫描工具会报一些奇奇怪怪的东西,让你下载插件(360?),一般引起恐慌都会下载。其实使用上面的方法,完全没有必要使用插件。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。