管理员
作为开源贡献者参与 MTR 的开发。
|
确实是这个“我的马甲”插件在引起数据库错误,不过我以为这里并没有密码爆破/注入的问题。
& l* V# c+ S- _; X. v7 |! H" `
9 f7 ], j/ ]* r! B' B: z这个插件里的Hash算法在数据库里对所有用户都用同样的盐,所以同时能看到输入和输出确实理论上能够还原盐,不过我以为爆破难度不小。而且即使得到盐也很难反解出其他用户的密码。9 |7 v5 j3 ^$ x" p
以及 Discuz 主数据库是使用完全不同且每用户都不同的盐的,所以那边并没问题。
. m! P0 k( H w* ?- z6 j+ D" n8 c: {! l" O: Z# N. v
关于 SQL/XSS 注入问题,在涉及到的 memcp.inc.php 源码中
1 `5 l" j2 k) a7 `3 K& m* |' H1 z- if($_GET['pluginop'] == 'add' && submitcheck('adduser')) {
+ E' Y' n q0 `- M3 F% { - if($singleprem && in_array($_GET['usernamenew'], $permusers) || !$singleprem) {
. {2 n7 w- y# k" c - $usernamenew = addslashes(strip_tags($_GET['usernamenew']));4 g* h d: Y- E( f2 c) F# p
- $logindata = addslashes(authcode($_GET['passwordnew']."\t".$_GET['questionidnew']."\t".$_GET['answernew'], 'ENCODE', $_G['config']['security']['authkey']));- U9 b1 B" [! O. ]
- if(C::t('#myrepeats#myrepeats')->count_by_uid_username($_G['uid'], $usernamenew)) {
/ E- H6 [- h! l4 A. e7 D( t - DB::query("UPDATE ".DB::table('myrepeats')." SET logindata='$logindata' WHERE uid='$_G[uid]' AND username='$usernamenew'");
6 R% O6 g, l3 N$ l - } else {
. m* e. T8 |9 U9 u; i. q- R - $_GET['commentnew'] = addslashes($_GET['commentnew']);- C$ r; L% m! r
- DB::query("INSERT INTO ".DB::table('myrepeats')." (uid, username, logindata, comment) VALUES ('$_G[uid]', '$usernamenew', '$logindata', '".strip_tags($_GET['commentnew'])."')");
, i4 S. X# J! w' P4 B; _. q - ...
复制代码 确实是在做字符串拼接,这可不是好文明;不过它对输入数据进行了 addslashes 和 strip_tags,所以这里应该是回避了 SQL/XSS 注入的问题。/ i. k2 k6 w. O" c: [
2 m; ]) D% v, M* h: `7 X! i
Discuz 系统本身似乎并未提供使它不显示错误信息的方法,也就是没得配置不改 Discuz 代码就关不掉?3 Z% s$ p. e) E% ^
MCBBS 也是会照样显示数据库错误的(大概 5 年前看到)。
4 t. ]9 L$ _1 u2 s% p3 K& M4 e这个倒是可以改改 Discuz 代码来关闭,不过有点治标不治本。
' C$ L# w' T, `+ h* \+ ]# Y2 [! E! x" T1 d$ F; K, Z# q
倒是可以考虑考虑关掉这个马甲插件,看起来代码质量一般的样子(
! `! d3 e; H M: N
6 Q1 i) A0 ?2 c" B |
|