Discuz!X2/2.5防止弱口令破解漏洞(最简单有效的解决方法)

老版本的Discuz问题,有些应用场景让人不得不使用老版本的程序,主要还是因为插件多。

Discuz!X2/2.5弱口令破解漏洞是什么?

这个弱口令破解漏洞存在与X2与2.5登录机制上,攻击者可以用软件批量拉取用户UID(获取用户列表。)

然后,通过下面这种形式的代码来进行弱密码测试。

member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls

当发现使用弱密码的账号,会登录其账号发布一些非法的信息。

弱口令破解漏洞怎么解决?

使用一句代码就可以这个问题,在Discuz x2 或 Discuz X2.5安装目录下找到member.php

找到以下代码

require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';

在这段代码的 上边 ,添加下方的代码:

if($mod=='logging'){
        $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
        if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}

修改之后保存,上传覆盖即可。

注:一些安全扫描工具会报一些奇奇怪怪的东西,让你下载插件(360?),一般引起恐慌都会下载。其实使用上面的方法,完全没有必要使用插件。

注明:本文为星速云原创版权所有,禁止转载,一经发现将追究版权责任!

(0)
上一篇 2022年7月20日 下午7:57
下一篇 2022年7月20日 下午7:57

相关推荐

发表评论

登录后才能评论
问答社区 QQ客服
微信客服
微信客服
分享本页
返回顶部