1):
2):
3):
前两个对我来说影响不大,最后一个漏洞关系甚密。因为此前我的站点就是被攻击者狂灌垃圾评论(几个小时之内被灌了两百多条评论)。幸亏本站流量不大,否则肯定已经垃圾满天飞了。
现在我们就来修补第三个漏洞:
评论部分(/include/controller/comment_controller.php),按照下面方式修改:
黄色背景所在行的代码就是需要新增的,同样在登录部分(/include/lib/function.login.php):
红色框框住的代码行就是需要新增的部分。
补充:细心的读者应该会发现,上图中多了一个logger函数,这是emlog5.0.1源码中没有的。这个函数的作用是,记录用户的登录情况(登录ip、登录时间、登录失败/成功信息、登录用户名)。如果有用户想要暴力破解后台密码,一定会在此留下踪迹。当站点出现异常时,通过查看这个日志可以确定是否后台登录权限被破解。
效果图如下:
为了防止恶意入侵者暴力破解密码,我又为登录部分添加了两道"防火墙":
- 完善验证码部分(添加干扰线), 增加验证码自动识别的程序算法复杂度;
- 修改登录流程, 为登录添加锁定功能, 防止用户可以连续无间断持续做破解尝试.
这两个部分我会陆续在后期释放相关文章和代码。
over.