广告投放

Discuz!X2/2.5防止弱口令破解漏洞(最简单有效的解决方法)

老版本的Discuz问题,有些应用场景让人不得不使用老版本的程序,主要还是因为插件多。

Discuz!X2/2.5弱口令破解漏洞是什么?

这个弱口令破解漏洞存在与X2与2.5登录机制上,攻击者可以用软件批量拉取用户UID(获取用户列表。)

然后,通过下面这种形式的代码来进行弱密码测试。

member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls

当发现使用弱密码的账号,会登录其账号发布一些非法的信息。

弱口令破解漏洞怎么解决?

使用一句代码就可以这个问题,在Discuz x2 或 Discuz X2.5安装目录下找到member.php

找到以下代码

require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';

在这段代码的 上边 ,添加下方的代码:

if($mod=='logging'){
        $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
        if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}

修改之后保存,上传覆盖即可。

注:一些安全扫描工具会报一些奇奇怪怪的东西,让你下载插件(360?),一般引起恐慌都会下载。其实使用上面的方法,完全没有必要使用插件。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
广告位招租919838898
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索