代码说

code is poetry

代码说    
碎碎念:等不到天黑,烟火不会太完美,回忆烧成灰,还是等不到结尾。  换一换

emlog漏洞修复

作者:coderzheng 发布于:2014-11-30 18:42 Sunday 分类:other  阅读模式

乌云网曝出几个emlog的漏洞, 如下:
1):

2):

3):

前两个对我来说影响不大,最后一个漏洞关系甚密。因为此前我的站点就是被攻击者狂灌垃圾评论(几个小时之内被灌了两百多条评论)。幸亏本站流量不大,否则肯定已经垃圾满天飞了。
现在我们就来修补第三个漏洞:
评论部分(/include/controller/comment_controller.php),按照下面方式修改:

黄色背景所在行的代码就是需要新增的,同样在登录部分(/include/lib/function.login.php):


红色框框住的代码行就是需要新增的部分。
补充:细心的读者应该会发现,上图中多了一个logger函数,这是emlog5.0.1源码中没有的。这个函数的作用是,记录用户的登录情况(登录ip、登录时间、登录失败/成功信息、登录用户名)。如果有用户想要暴力破解后台密码,一定会在此留下踪迹。当站点出现异常时,通过查看这个日志可以确定是否后台登录权限被破解。
效果图如下:


为了防止恶意入侵者暴力破解密码,我又为登录部分添加了两道"防火墙":
- 完善验证码部分(添加干扰线), 增加验证码自动识别的程序算法复杂度;
- 修改登录流程, 为登录添加锁定功能, 防止用户可以连续无间断持续做破解尝试.
这两个部分我会陆续在后期释放相关文章和代码。

over.

标签: emlog

你可以发表评论、引用到你的网站或博客,或通过RSS 2.0订阅这个博客的所有文章。
上一篇: emlog验证码更新  |  下一篇:由云主机想到的