您现在的位置是:众链财经 > 区块链技术 >
discuzx2Discuz!X2/2.5防止弱口令破解漏洞(最简单有效的解决方法)
2023-05-22 11:41
简介discuzx2老版本的Discuz问题,有些应用场景让人不得不使用老版本的程序,主要还是因为插件多。Discuz!X2/2.5弱口令破解漏洞是什么?这个弱口令破解漏洞存在与X2与2.5登录机制上,攻击者可以用软件批量拉取用户UID(获取用户列表。)然后,通过下面这种形式的代码来进行弱密码测试。me
老版本的Discuz问题,有些应用场景让人不得不使用老版本的程序,主要还是因为插件多。
Discuz!X2/2.5弱口令破解漏洞是什么?这个弱口令破解漏洞存在与X2与2.5登录机制上,攻击者可以用软件批量拉取用户UID(获取用户列表。)
然后,通过下面这种形式的代码来进行弱密码测试。
member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls当发现使用弱密码的账号,会登录其账号发布一些非法的信息。
弱口令破解漏洞怎么解决?使用一句代码就可以这个问题,在Discuz x2 或 Discuz X2.5安装目录下找到member.php
找到以下代码
require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';在这段代码的 上边 ,添加下方的代码:
if($mod=='logging'){ $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : ''; if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;}修改之后保存,上传覆盖即可。
注:一些安全扫描工具会报一些奇奇怪怪的东西,让你下载插件(360?),一般引起恐慌都会下载。其实使用上面的方法,完全没有必要使用插件。
Tags: discuzx2
