Discuz 3.4是目前discuz論壇的最新版本,也是繼X3.2、X3.3來,最穩(wěn)定的社區(qū)論壇系統(tǒng)。目前官方已經(jīng)停止對老版本的補丁更新與升級,直接在X3.4上更新了,最近我們SINE安全在對其安全檢測的時候,發(fā)現(xiàn)網(wǎng)站漏洞,該漏洞是由于用戶登錄論壇的時候調(diào)用的微信接口,導(dǎo)致可以進行任意登錄,甚至可以登錄到管理員的賬號里去。
關(guān)于Discuz漏洞詳情
漏洞的產(chǎn)生是在plugin文件夾下的wechat目錄里的wechat.inc.php代碼中的220-240行的代碼里,代碼如下:
我們可以看到代碼里的邏輯功能設(shè)計師如何,首先會從會員的這個數(shù)據(jù)表里進行查詢微信接口的ID,是否在會員表里有相對應(yīng),并綁定好的會員賬號,如果有數(shù)據(jù)庫返回數(shù)據(jù)給前端。然后再進行下一步,從common這個表里進行獲取會員uID值的用戶ID,以及用戶的所有信息。
根據(jù)discuz的設(shè)計邏輯,我們可以看出只要知道了用戶使用微信接口openid就能登錄到其他用戶的賬戶里面去,我們仔細(xì)的看下discuz關(guān)于微信API接口這個文檔,openid這個值是不變的,只有用戶將微信號綁定到論壇里,才能從公眾號中獲取到這個openid值,正常的請求下是獲取不到這個值的。
那么我們就可以偽造參數(shù)對其進行登錄嘗試,安全測試看下是否會獲取到其他人的openid值來,我們用id為空的一個用戶進行登錄,發(fā)現(xiàn)可以登錄但是并沒有綁定任何的論壇賬號,但注冊了一個新的賬戶到了論壇里。從整個的邏輯代碼中,我們發(fā)現(xiàn)了漏洞,可以解除任意ID綁定的微信,然后我們再來登錄openid為空的賬號,我們發(fā)現(xiàn)可以登錄任何會員的賬戶了。截圖如下:
如果管理員的賬戶綁定了微信登錄,那我們就可以解除他綁定的ID,我們用空ID登錄就可以進到管理員賬號里了。關(guān)于discuz網(wǎng)站漏洞的修復(fù),建議網(wǎng)站的管理者對代碼進行刪除,在plugin/wechat/wechat.inc.php里的230行到247行代碼全部注釋掉即可。網(wǎng)站漏洞的修復(fù),可以對比程序系統(tǒng)的版本進行升級,也可以找程序員進行修復(fù),如果是你自己寫的網(wǎng)站熟悉還好,不是自己寫的,建議找專業(yè)的網(wǎng)站安全公司來處理解決網(wǎng)站被篡改的問題,像Sinesafe,綠盟那些專門做網(wǎng)站安全防護的安全服務(wù)商來幫忙。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!