找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 4402|回复: 3

check_seccode()取出该值时也没有检查是否合法

  [复制链接]
发表于 2016-8-26 13:40:13 | 显示全部楼层 |阅读模式 来自 中国–浙江–金华
本次悬赏总金额:20 金币 | 剩余悬赏金额:20 金币
本次悬赏到期时间: 2016-08-31 20:00 | 本悬赏贴已经到期,不再接受回复。
快来加入[悬赏团队],每次获得楼主奖励时可获得系统额外20金币的系统奖励。

只允许悬赏会员本人发放悬赏金币 | 只允许悬赏会员本人收回悬赏金币 | 最多悬赏人数:10人
还没有会员获得悬赏奖励,加油,快来争头奖!
本问题的悬赏已经结束!

Crossday Discuz! Board(简称 Discuz!)是一款社区论坛软件系统。Discuz! X3.2存在文件包含漏洞,问题出在代码中的函数check_seccode(),该函数在/source/class/helper/helper_seccheck.php中,作用是检查验证码是否正确。在后台的防灌水功能中可以设置验证码类型,对应的变量是$_G['setting']['seccodedata']['type'],该值在进入数据库前未做安全检查。check_seccode()取出该值时也没有检查是否合法,导致漏洞产生。




哪位知道这个怎么解决

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2016-8-26 13:52:49 | 显示全部楼层 来自 中国–河南
直接 后台关闭 dz自带的验证码,然后安装个第三方验证码,比如 极验验证码

评分

参与人数 1金币 +3 收起 理由
抢楼评分专号 + 3 很幸运,你获得了抢楼奖励!

查看全部评分

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

 楼主| 发表于 2016-8-26 13:56:22 | 显示全部楼层 来自 中国–浙江–金华
天外飘仙 发表于 2016-8-26 13:52
直接 后台关闭 dz自带的验证码,然后安装个第三方验证码,比如 极验验证码

QQ图片20160826135453.png 是把这里关了吗?我用的是这个“点触验证码-免费版

点评

是,把你截图 这里的 验证码 全部关了  详情 回复 发表于 2016-8-26 14:33

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

发表于 2016-8-26 14:33:14 | 显示全部楼层 来自 中国–河南
xiaoxiangzhoy 发表于 2016-8-26 13:56
是把这里关了吗?我用的是这个“点触验证码-免费版”

是,把你截图 这里的 验证码 全部关了

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;

如何回报帮助你解决问题的坛友,好办法就是点击帖子下方的评分按钮给对方加【金币】不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 需要先绑定手机号

关闭

站长推荐上一条 /1 下一条

QQ|侵权投诉|广告报价|手机版|小黑屋|西部数码代理|飘仙建站论坛 ( 豫ICP备2022021143号-1 )

GMT+8, 2024-11-3 03:44 , Processed in 0.056846 second(s), 19 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表