最近研究登陆机制时发现discuz登陆机制有三个大问题。

最新推荐文章于 2017-04-11 10:55:07 发布
最新推荐文章于 2017-04-11 10:55:07 发布
阅读量517 收藏
点赞数
文章标签: 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myskl/article/details/7859246
版权
最近研究网站的登陆机制,想看看discuz的模式看有什么参考的,发现确实有很多漏洞值得借鉴。
discuz关于破解用户密码的基础限制是同一个用户五次输入错误就屏蔽IP。
1、现在有一种做法是尝试简单密码刷多个账户。如尝试888888来刷论坛所有的用户一次。至于用户名单自然可以通过循环读取用户空间的来获取。 原理:因为同一个用户只要尝试不达到5次,ip是不会被discuz屏蔽的,所以即使黑客刷了discuz所有用户一次,discuz本身并不会阻挡。

2、这时,站长们很自然想起discuz提供的验证码功能,discuz验证码种类丰富貌似强大。 但实际上对这种破解简单密码是完全一点用都没的。 因为快捷登陆接口(inajax=1)提交时是验证密码成功后才开始检验验证码的。这样黑客依然可以刷账户,只要看见获取的提示是验证码错误即可判断是密码成功了。

3、主登录页面,这个页面会提示验证码才能提交。但事实上是这样? 只需你输入一次正确的验证码,用户名和密码可以不断更改来尝试,而不会提示刷新验证码的。也是等于无用。

涉及版本包括x2.0 x2.5,更旧的版本不知。 而且关于discuzx机制里面东西我还不清楚,但表面的验证问题我是操作过的。
 
刚也发了微博
myskl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
discuz二次开发登录验证原理
09-25
discuz二次开发之登录验证原理,轻松获取客户端cookie
Discuz论坛POST登陆.rar
04-04
标题 "Discuz论坛POST登陆.rar" 暗示了这个压缩包包含的是关于Discuz论坛登录功能的编程源代码,采用的是易语言作为开发工具。易语言是一种中国本土的编程语言,以其简单易学的特性而得名,旨在降低编程门槛,让普通...
app的登录认证与安全
热门推荐
MOKA
03-16 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请
DISCUZ X3.0登录代码
weixin_30414155的博客
03-10 182
// 初始化UC if(!function_exists('uc_user_login')) { loaducenter(); } //加载uc_user_login()方法,位于uc_client/client.php之中,执行登录第一步 $result = uc_user_login('admin', 'BefoundMyBbs!~@123', 0, 1); 下一步将结...
Discuz!开发之会员登录流程解析
土著人宁巴的Discuz!专栏
04-11 5221
discuz登录流程解析,最近研究,Ucenter的同步登陆机制,就先从discuz登录开始了 1.form表单提交 member.php?mod=logging&action=login&loginsubmit=yes&handlekey=login&loginhash=Lm137&inajax=1 处理脚本  source/module/member/member_loggi
Discuz类型论坛登陆并取用户信息.rar
04-04
3. **用户权限**:Discuz的权限系统基于用户组,每个用户都有对应的用户组,决定了他们在论坛上的操作权限。通过查询用户组信息,可以了解用户是否具有发帖、回帖、上传附件等权限。 三、易语言实现 易语言是一种...
易语言Discuz类型论坛登陆并取用户信息
07-20
在实现这个功能,首先我们需要理解Discuz论坛的API接口或者HTTP通信机制Discuz论坛通常通过HTTP请求与服务器进行交互,如登录、获取用户信息等操作。因此,我们需要用到网络编程的知识,包括HTTP协议的理解以及...
Discuz_X3.1和第三方应用同步登陆、登出
06-27
"第三方应用同步登陆.docx"可能是一个详细的教程或者指南,涵盖了如何配置Discuz! X3.1与第三方应用的同步登录功能,包括必要的设置步骤、API调用、安全考虑等。"examples.zip"可能包含了一些示例代码或配置文件,供...
MySQL 编码机制
09-11
下面我们将详细讨论这三个关键的字符集变量: 1. **character_set_client**:这个变量定义了客户端发送给MySQL服务器的SQL语句的字符集。当用户输入中文查询,这些查询将按照character_set_client所指定的字符集...
MySKL-开源
04-25
该库实现了线程安全的跳过列表数据结构-一种具有良好插入,删除和搜索性能的列表。 它使用Fred Fish的dbug库作为内部跟踪/调试系统。 有关更多详细信息,请参见网站。
Discuz中session机制流程图以及心得
al_bat
07-15 4557
看了discuz的session机制,有一点拙见: 为什么我们要用数据库来记录session状态呢? 我觉得一来是数据库可以实现持久化的效果。二来,对于一个大中型的网站,例如社交网站
Discuz在线人数统计原理-个人分析
weixin_33737774的博客
05-06 176
Discuz在线人数统计原理-个人分析 eluban论坛在线人数统计原理 2013-5-6 一、基本原理(流程) 1、读取和生成在线人数 用户每次进入首页,会读取COOKIE中的$_DCOOKIE['onlineusernum'](在线人数cookie值,此cookie包括会员和游客)。 [a]、如果【有】,这个值就去取,然后直接显示。 [...
Discuz!NT 在线用户功能简介
daizhj的专栏
01-21 2498
    声明:本文内容纯属个人观点,官方保留最终解释     在上文(Discuz!NT URL地址重写) 中, 聊到了“在线用户”功能,因为当介绍的重点不是“在线”那一块,所以没做深入介绍。这就为今天这篇文章埋下了“伏笔”。因为在线这个功能太重要了,大家不妨用VS打开我们产品的最新源码,然后搜索一下“OnlineUsers.”这个内容就会看到它在产品中被使用的“频率”。
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
最新发布
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
07-12
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
1ewqeqweqweqweq
07-12
1ewqeqweqweqweq
Discuz微信登陆
05-11
Discuz微信登陆是一种通过微信账号实现Discuz论坛登陆的方式。通过Discuz微信登陆,用户可以使用微信账号快速、便捷地登陆Discuz论坛,无需进行繁琐的账号注册和密码设置。同Discuz微信登陆也为论坛管理员提供了一种方便的用户管理方式,管理员可以通过微信公众平台对用户进行管理和消息推送等操作。如果您在Discuz论坛上遇到了登陆问题,可以尝试使用微信登陆

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值