Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

验证码开启规则里面的异地登录需验证,弱密码和密码错误2次后需要验证码是来搞笑的么?

[复制链接]
jiangchuankyo 发表于 2017-6-5 11:31:35 | 显示全部楼层 |阅读模式
验证漏洞,首先第一:异地登录需验证,弱密码和密码错误2次后需要验证:这个验证顺先后序存在大BUG,它不是在验证密码之前验证,而是只有当别人输入密码正确时才跳出验证码,这不是明摆着告诉别人: 您刚才输入了正确的登录密码,现在需要输入验证码了哦....

BUG2:异地登录需要验证也是搞笑的,比如某个账号上次登录地址是杭州,这次首先用保定的ip登录,确实没问题-跳出需要验证码,
不管它-再次输入密码登录-登陆成功!

因为我去数据库里面看了,在跳出需要验证码后-持续又执行了一个操作:把该账号最后登录IP由原先主人的杭州的ip更新成了 现在访问者的保定IP! 所以说你第二次登陆时就变成非异地了!

就是这功能BUG漏洞,求解决
还有随机虚假IP(什么封IP段15分钟错误5次一点用都没)大量尝试密码的问
这是设置:




 楼主| jiangchuankyo 发表于 2017-6-5 11:33:16 | 显示全部楼层
这个漏洞太严重:随机虚假IP大量尝试密码,图中只是尝试错误的,还有很多尝试对了登上了!

回复

使用道具 举报

民审大大 发表于 2017-6-5 13:22:32 | 显示全部楼层
想要IP无法伪造,那就只获取访问端(有可能是用户,有可能是代理的)IP,但这会影响使用代理访问网站的用户,这些用户返回的IP就是代理服务器的IP,如果使用CDN,IP有可能都是CDN服务器的IP,因为是CDN服务器直接请求的你的服务器,这种就需要自己配置服务器修正服务器获取的IP
有兴趣自己打开
source\class\discuz\discuz_application.php删除或者注释

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-25 02:13 , Processed in 0.018494 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表