这两天博客收到了恶意灌水/广告引流评论,每天都会发一次,定时灌水....无可奈何了。想起以前看到过emlog验证码机制修改代码,整上确实有用,顺便分享给大家(大佬勿喷)。
绕过验证码漏洞原理
1.利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
2.正常留言输入验证码进行BurpSuite抓包
3.将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在,再将imgcode修改成空。
4.发送数据包,可见没有提示失败(302跳转了),说明评论成功。
5.载入一个字典,即可刷评论。
6.可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸
处理方法一:修改emlog验证码机制
1、打开程序路径/include/lib/checkcode.php文件,把下面代码全部替换到checkcode.php里面即可
此处内容已隐藏,评论后刷新即可查看!
效果图:
处理方法二
1.开启session并且将是否为空的行为进行判断
2.违规词拦截(emlog用户免费提供emlog违规词拦截魔改插件)
3.添加第三方滑块验证
