• 注册
  • emlog交流 emlog交流 关注:7 内容:35

    emlog 评论验证码修复

  • 查看作者
  • 打赏作者
  • 当前位置: 站长社区 > emlog > emlog交流 > 正文
    • emlog交流
    • 新手
      VIP 1

      emlog评论验证码代码年久失修了,可以无视验证码评论。

      验证码绕过漏洞原理:
      1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
      2、正常留言输入验证码进行BurpSuite抓包
      3、将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在,再将imgcode修改成空。
      4、发送数据包,可见没有提示失败(302跳转了),说明评论成功。
      5、载入一个字典,即可刷评论。
      6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸

      处理方案一
      1.开启session并且将是否为空的行为进行判断
      2.违规词拦截
      3.添加第三方滑块验证

      修复方案二:修改emlog验证码机制

      隐藏内容需要回复可以看见

      回复

      为了学习而来,请大佬们,口下留德i

      请登录之后再进行评论

      登录

      分享有礼

    • 发表内容
    • 做任务
    • 实时动态