Discuz!X2/2.5 程序漏洞弱口令密码破解漏洞最简单有效的解决方法Discuz!X2/2.5 漏洞

近期我发现我自己早期注册的用户名 居然在发帖 我自己注册的啊
密码都是设置123456 后面上网找解决办法现在分享给大家
Discuz!X2/2.5 程序漏洞弱口令密码破解漏洞最简单有效的解决方法Discuz!X2/2.5 漏洞

• Discuz!X2/2.5弱口令破解漏洞是什么，怎么解决？
  

说白了Discuz!X2/2.5弱口令破解漏洞就是Discuz x2和Discuz X2.5登录机制上的漏洞。
利用一些恶意软件，先通过一定方法拉取网站用户列表，然后访问形如member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls 的网址逐一进行弱密码测试，发现可以登录的用户则利用用户大量发布垃圾信息，如色情、广告、推广等信息。

• Discuz!X2/2.5弱口令破解漏洞怎么解决？
  

  这里说点题外话，我要严重鄙视和批评360，一个超级简单的问题一定要把它提升到安全问题上来，既然提出了问题，就该简洁明了的告诉站长如何快速解决这个问题，而360在那里故装深沉，把问题弄得像特别难解决一样，不肯解决问题也罢了，还诱导不懂编程的站长去使用它的漏洞修复插件什么的。从来没有谁把搜索引擎做得像360一样恶心，因为一个简单的问题就给别人辛辛苦苦做的网站贴个个不安全的标识给访客看，劫断别人的流量来源。

  话不多说，言归正传，要解决Discuz!X2/2.5弱口令破解漏洞，其实只要一句代码就行，在Discuz x2 或 Discuz X2.5安装目录下找到member.php，用文本编辑软件打开，找到以下代码

1. require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';

复制代码

在这行代码上面另起一行，添加如下代码

1. if($mod=='logging'){
   
2.         $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
   
3.         if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
   
4. }

复制代码

修改完后然后保存文件，重新上传到服务器上，问题解决，既不需要升级论坛，也不需要安装360的垃圾插件。

原帖地址 http://www.xinseo.cn/thread-142243-1-1.html

留名支持楼主。赞一个！

server的信息可以被伪造，楼主这只是欺骗360的检测程序，并不是有效提升论坛安全的方法6

imtest01 发表于 2014-9-25 17:27
server的信息可以被伪造，楼主这只是欺骗360的检测程序，并不是有效提升论坛安全的方法6

不用那么专业 site:www.xinseo.cn 能100分就好了 你要是来个60分 人家都不好意思访问