阿里云優(yōu)惠券 先領(lǐng)券再下單

Discuz 3.4是目前discuz論壇的最新版本，也是繼X3.2、X3.3來，最穩(wěn)定的社區(qū)論壇系統(tǒng)。目前官方已經(jīng)停止對老版本的補丁更新與升級，直接在X3.4上更新了，最近我們SINE安全在對其安全檢測的時候，發(fā)現(xiàn)網(wǎng)站漏洞，該漏洞是由于用戶登錄論壇的時候調(diào)用的微信接口，導(dǎo)致可以進(jìn)行任意登錄，甚至可以登錄到管理員的賬號里去。

關(guān)于Discuz漏洞詳情

漏洞的產(chǎn)生是在plugin文件夾下的wechat目錄里的wechat.inc.php代碼中的220-240行的代碼里，代碼如下：

我們可以看到代碼里的邏輯功能設(shè)計師如何，首先會從會員的這個數(shù)據(jù)表里進(jìn)行查詢微信接口的ID，是否在會員表里有相對應(yīng)，并綁定好的會員賬號，如果有數(shù)據(jù)庫返回數(shù)據(jù)給前端。然后再進(jìn)行下一步，從common這個表里進(jìn)行獲取會員uID值的用戶ID，以及用戶的所有信息。

根據(jù)discuz的設(shè)計邏輯，我們可以看出只要知道了用戶使用微信接口openid就能登錄到其他用戶的賬戶里面去，我們仔細(xì)的看下discuz關(guān)于微信API接口這個文檔，openid這個值是不變的，只有用戶將微信號綁定到論壇里，才能從公眾號中獲取到這個openid值，正常的請求下是獲取不到這個值的。

那么我們就可以偽造參數(shù)對其進(jìn)行登錄嘗試，安全測試看下是否會獲取到其他人的openid值來，我們用id為空的一個用戶進(jìn)行登錄，發(fā)現(xiàn)可以登錄但是并沒有綁定任何的論壇賬號，但注冊了一個新的賬戶到了論壇里。從整個的邏輯代碼中，我們發(fā)現(xiàn)了漏洞，可以解除任意ID綁定的微信，然后我們再來登錄openid為空的賬號，我們發(fā)現(xiàn)可以登錄任何會員的賬戶了。截圖如下：

如果管理員的賬戶綁定了微信登錄，那我們就可以解除他綁定的ID，我們用空ID登錄就可以進(jìn)到管理員賬號里了。關(guān)于discuz網(wǎng)站漏洞的修復(fù)，建議網(wǎng)站的管理者對代碼進(jìn)行刪除，在plugin/wechat/wechat.inc.php里的230行到247行代碼全部注釋掉即可。網(wǎng)站漏洞的修復(fù)，可以對比程序系統(tǒng)的版本進(jìn)行升級，也可以找程序員進(jìn)行修復(fù)，如果是你自己寫的網(wǎng)站熟悉還好，不是自己寫的，建議找專業(yè)的網(wǎng)站安全公司來處理解決網(wǎng)站被篡改的問題，像Sinesafe,綠盟那些專門做網(wǎng)站安全防護(hù)的安全服務(wù)商來幫忙。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！