DiscuzX 3.4 登录接口爆破密码问题

最近主机壳一个用户论坛经常出现账号被盗问题,升级到最新版之后问题似乎没有解决。在翻看访问日志的时候看到了一串奇怪的请求有点吓人。

GET /member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&handlekey=ls&quickforward=yes&password=1234qwer&username=admin

明文密码??????记得 Discuz 很久以前就加密通讯密码了啊!手工访问这个链接发现还真特喵的好使,继续找 BranchZero (DZ 签到插件的开发者)协助排查问题。

经过查阅源代码才知道 DiscuzX 3.4 这个接口流程依然是提交明文用户名密码后换取一串 auth,再通过 auth 提交进行登录操作。有可能是提供给外部登录或者其他用途。

确认这个论坛站内登录不使用此接口,直接一行代码 if($_GET['username']&&$_GET['password'])die(); 堵死请求,问题解决。

DiscuzX 3.4 登录接口爆破密码问题 有 6 个评论

  1. iilp

    加在哪个文件里

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据