██████DZX 2.0 邮箱密码安全修改，保会员帐号安全

依楼听风雨 · 发表于 2011-11-25 17:22:50

本帖最后由依楼听风雨于 2011-11-25 17:43 编辑

DZX2.0 的密码安全保护性约等于0.弱的令人发指。

知道帐号密码就能完全盗了。神马邮箱，神马的认证过都能改。纯好看。

写个扫号器，帐号靠网页抓取，密码试： 123123，123456，456123，密码与用户名一样。

密码都不正确，换下一个帐号，继续扫。每100个帐号，最少能试出来1个。通杀DZ.PHPWIND任何版本。

研究了下，根据前辈的方法更加完善的修改了下。

修改后：
验证过的邮箱不可修改。

未验证的，可以修改。

方法：

打开：

template\default\home\spacecp_profile.htm

复制代码

找到：

<input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />
<p class="d">
{lang email_been_active}
$acitvemessage

复制代码

修改为：

<input type="text" name="emailnew" id="emailnew" value="$space[email]" disabled />
<p class="d">
{lang email_been_active}
<input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />
<p class="d">
$acitvemessage

复制代码

如果想要无论如何，注册后就不能修改。

同样打开：

template\default\home\spacecp_profile.htm

复制代码

查找：

<input type="text" name="emailnew" id="emailnew" value="$space[email]" class="px" />

复制代码

改成：

<input type="text" name="emailnew" id="emailnew" value="$space[email]" disabled />

复制代码

此方法我感觉有BUG。极大可能依旧存在。懂开发的应该明白BUG在哪。
没办法，不是搞PHP的，只能这样改一下。

但是不懂开发的人，这招还是能有效保护帐号安全的。

希望官方能重视帐号安全性。

缺挂网：http://www.quegua.com/

azai · 发表于 2011-11-25 17:24:56

还没有机会尝试一下帮顶

依楼听风雨 · 发表于 2011-11-25 17:36:44

顶一个，睡觉。

81336388 · 发表于 2011-11-25 17:47:41

我压力很大呀。~ http://www.c9c9gua.com

4700鸡动地蛋疼 · 发表于 2011-11-25 17:49:59

21世纪，什么最重要——我！

1314学习网 · 发表于 2011-11-25 23:30:18

支持下。。。。

a327173196 · 发表于 2011-11-26 10:43:25

这个问题早发现了，以前直接改过PHP，升级的时候又覆盖了，麻烦死了，官方确实应该重视！

Dragon8888 · 发表于 2012-6-24 17:04:49

看得出官方不会重视的

455378652 · 发表于 2012-6-30 15:21:50

这个好啊，学习了

stanicja · 发表于 2013-5-4 00:30:00

为什么官方就不能整个判断呢？

		自动登录	找回密码
密码			立即注册

[修改] ██████DZX 2.0 邮箱密码安全修改，保会员帐号安全