【www.aixiagame.cc首发教程】【discuz找回密码的漏洞巩固加强】防止攻击邮箱系统...

【这是写给不懂编程的新手站长看的】
上回我们说到了这个屏蔽垃圾蜘蛛问题，现在的呢？我们一起来接着看。
大量的站长在很久之前就发现了这个漏洞问题，忘记密码这块取回限制什么都没有，恶意用户频繁发送，最终发送邮箱可能被封禁。
但是官方他不修改这块漏洞，原话如图（吐槽一下，大家又不需要官方提供邮箱功能，设置个取回限制都这么懒）

所以，我们要自行采取防护措施，如何在找回密码上面加限制与巩固。

以DiscuzX 3.4 R20191201建站程序的来巩固找回密码漏洞问题。

首先感谢reCAPTCHA云验证码插件的开发者提供的增加验证码的代码，以及@风乱流年 提供的同一个账号发送频率限制代码。一共分两步。
提供给小白们解决这个取回密码来攻击邮箱的问题，老白就不用看了，写的不一定好。

第一步：找回密码邮件发送频率修改（同一个账号的取回发送限制）

打开source/module/member/member_lostpassword.php

搜索$idstring = random(6);
在上面加入
$memberauthstr = C::t('common_member_field_forum'.$table_ext)->fetch($member['uid']);
        list($dateline, $operation, $idstring) = explode("\t", $memberauthstr['authstr']);
        if($dateline && $operation == 1 && $dateline>TIMESTAMP-900){
                showmessage('getpasswd_has_send');
        }

打开source/language/lang_message.php
搜索'submit_verify_succeed'
在上面加入
'getpasswd_has_send' => '取回密码的方法已通过 Email 发送到您的信箱中，如果您没有收到，请稍等15分钟后重试',
当然，这第一步仅仅只是一个账号不停的取回限制，那黑手也不是傻子，这一步行不通，他肯定用你论坛里不同帐号不停的取回。
这时怎么办？再来个同一个IP的取回发送限制？那黑手更不是傻子，他肯定会用你论坛里不同的IP不同的账号再接着不停的取回。

何处能消停？且看第二步。

第二步：在忘记密码取回的界面加上验证码（阻拦机器人的取回发送限制）

这样的话，除非这黑手真是个傻子，自己在那儿人工发送，不然的话除非他有破解reCAPTCHA云验证码的水平。
所以这一步基本上已经给这黑手打上GAME OVER!了
那如何在这界面加上验证码呢？

discuz官方没在这个位置提供嵌入点，也没有相关的设置项，因此通过插件极难实现接入系统验证码（不是完全不能，但很困难，common嵌入点强行实现性能也会很不好）。
那比较好的解决方案是什么？
在这个界面加上系统验证码，而reCAPTCHA云验证码的插件就是覆盖的系统验证码，所以正好加了系统验证码就带表能加上了reCAPTCHA云验证码。
效果如图：

修改办法：
【hide】抱歉，此方法属于reCAPTCHA云验证码的插件开发作者，没有经过同意，所以我暂时不公开，而第一步的方法早于2017年就发布了。如需阅读详情，可以到aixiagame论坛查看教程,站长/discuzX版块即可查看，地址：http://www.aixiagame.cc
【/hide】
这样验证码在配合限制取回密码的邮件发送频率，漏洞就巩固加强了。


最后，总结一下：
第一步：同一个账号的取回发送限制
第二步：阻拦机器人的取回发送限制
如果有什么新方法、好方法，欢迎大家留言，给予遇到的人帮助，先就这样吧，祝大家新年快乐、大吉大利、万事顺心。

你好像在乱引用我的话，我的话意思是腾讯服务器安全限制，不允许提供邮件发送服务，和discuz程序无关系，和懒不懒也没关系，和邮件发送频率也没关系

民审大大 发表于 2020-1-31 02:12
你好像在乱引用我的话，我的话意思是腾讯服务器安全限制，不允许提供邮件发送服务，和discuz程序无关系，和 ...

深夜活捉版主。版主开个帖子介绍下Discuz Q的进展吧，和好多朋友一样一直在关注着。

spelllife 发表于 2020-1-31 02:37
深夜活捉版主。版主开个帖子介绍下Discuz Q的进展吧，和好多朋友一样一直在关注着。

版主繁忙，半夜加班加点，Q好像发了一个介绍帖子，我不咋喜欢Q，太精简砍掉好多功能，不实用

59id 发表于 2020-2-4 21:31
这个应该没有哪个用户闲的这么蛋疼吧   
还可以在邮箱后台看发送记录哪个用户一直频繁使用 封了他的账号就 ...

没有仔细看内容吗？这里的用户指的不是正常用户，指的黑手，弄几百个你封的过来吗，而且你封了用户也登录不了了

没必要弄云验证码 稍加个 加减法数字就能阻断好多呢。
没有的话确实被人利用不停申请导致频繁发送邮件 邮箱被限制

qxyhuiyuan 发表于 2020-2-4 22:19
没有仔细看内容吗？这里的用户指的不是正常用户，指的黑手，弄几百个你封的过来吗，而且你封了用户也登录 ...

既然要封的用户肯定要他登录不了呀  这个用户既然会一直使用找回密码这个就是黑手
弄几百个号 你不会使用一些限制吗 （比如邀请码 或者邮箱验证注册 一个邮箱只能注册一个账号 等等随便一个小限制 就没有这么容易  用10来年DZ都没遇到你说的问题勒 ）
https://www.59idw.net/  来我论坛试试 随便你什么机器人黑手  

对付机器人的话  注册验证 多加几个 加问答    等等 方法多的是

evilvoy 发表于 2020-2-5 14:12
没必要弄云验证码 稍加个 加减法数字就能阻断好多呢。
没有的话确实被人利用不停申请导致频繁发送邮件 邮 ...

加减验证，机器人直接破解，你有用吗？

59id 发表于 2020-2-5 21:03
既然要封的用户肯定要他登录不了呀  这个用户既然会一直使用找回密码这个就是黑手
弄几百个号 你不会使 ...

我用你的账号攻击论坛邮箱，你的号被封等不了你就不管了？几白个你封的过来？这时注册的攻击吗？懒得回复你了，麻烦你弄明白了在说行不，看了很烦的。