最近博客常常被人刷评论,最狠的一次被刷了10000多广告。
先看看评论验证码是怎么检查的。
emlog/include/controller/comment_controller.php,先获得$imgcode:
<?php $imgcode = isset($_POST['imgcode']) ? addslashes(trim(strtoupper($_POST['imgcode']))) : '';
检查:
<?php ... } elseif (ISLOGIN == false && Option::get('comment_code') == 'y' && session_start() && $imgcode != $_SESSION['code']) { emMsg('评论失败:验证码错误'); }
上述代码,几个判断依次是:
- 没有登录(非管理员和作者)
- 后台开启了评论验证码
- 开启session
- 将session中的code与$imgcode比较,不相等则验证码错误
第4步明显有问题。熟悉php验证码流程的同学应该清楚,验证码生成的时候将会设置一个session,这里就是code,再和POST过来的也就是用户输入的做比较。
然而如果我们并没有访问验证码生成页面,那么也就没生成session。那么$_SESSION[‘code’]就是NULL。
php中==是弱类型比较,NULL和”(空字符串)比较的结果是TRUE的。
所以这里,我们的$imgcode如果输入一个空值,并且不去访问生成验证码的页面,那么这个$imgcode != $_SESSION['code']就不成立,就不会提示验证码错误,从而绕过了验证码检查逻辑。
所以,我这里做测试。
先正常留言,填写验证码,中途抓包:
将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在。再将imgcode修改成空:
发送数据包,可见没有提示失败(302跳转了),说明评论成功:
载入一个字典,即可刷评论:
修复方法是判断session是否为空:
empty($_SESSION['code']) || $_SESSION['code'] != $imgcode
不满足这个条件即提示错误。
另外的方法是和我博客一样,使用第三方验证码,简洁又方便:极验
之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy ,作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题,包含由Nginx配置错误导致的漏洞。 所以我挑选我觉得比较有趣,而…
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册