DZ x2.5 郵箱驗證(攻擊問題)

使用DZ X2.5，使用"通過郵件發送註冊鏈接:"

在會員填入信箱的那個註冊頁面(還未收到信之前的第一次填寫)，當填寫完該頁時，按下送出，頁面跳出一個視窗告知系統已經發信，此時關掉這個跳出的視窗，仍然停留在原本視窗，而會員又可以一直按寄送郵件。

若是某個論壇開啟此種驗證，但某會員要故意使該主機寄送大量信件，則可利用此頁一直按寄送，而他填寫的isp，如qq.com，應該會在短時間內，一直收到這台主機寄來的信，沒多久，該主機應該變成smtp黑名單了

你说的会员填写是哪个页面 能否详细地址留下来我看看。我重现下

m.king 发表于 2012-6-25 15:50
你说的会员填写是哪个页面 能否详细地址留下来我看看。我重现下

我填寫的頁面為member.php?mod=register

畫面如下，需要後台先開啟"通過郵件發送註冊鏈接"

當會員點下立即註冊連結時，會先填寫信箱,驗證碼等問題，當送出時，就會出現如下圖


過10秒後，該視窗會自動關閉，就會看到下圖


在上圖中，會員可以一直按"提交"，此時就會利用主機就會拼命一直送信，這個就是一種bug。

應該要送出信後，畫面應該要轉跳到其他頁面，並且用上一頁方式無法回到此頁。
若是會員有填寫錯誤信箱，只要再重新填寫一次，系統一樣會幫忙發信，但是重新填寫需要填寫驗證碼，就可以避免會員一直在同一頁上，一直提交。

我现在就遇到了整改问题，这被利用了，后果挺严重的

好像是第一次听人说这个问题，感觉很严重，要是让恶意利用的话。。。

感谢楼主的细心。让大家知道了这个bug

感谢楼主的细心。让大家知道了这个bug