快捷导航

修改Emlog验证码机制,有效防止恶意识别/解决恶意评论灌水

[复制链接]
查看: 19|回复: 0
本人妖大人不在!
       QQ
这位帅哥的编号是: 1
级别: 管理员
发帖: 437 (1)
积分: 1835 分
0
1393
0


诞生: 2019-10-5
登入: 2019-12-6
发表于 7 天前 |显示全部楼层
马上注册,结交更多在您身边的鸿蒙互联网的学子,享用更多功能,让你轻松玩转鸿蒙互联网! 点这里 [立即注册] 已有账号?[点击登录] 您也可以直接 用QQ登录!只需一步,快速开始! 注册发帖回帖都有奖哦,详情>> 关闭

Emlog被恶意评论灌水解决方法,关于Emlog验证码机制问题,用emlog程序都知道,它已经不存在更新了,所以emlog评论验证码代码年久失修了,可以无视验证码评论,因此咱也不说是谁的刷灌水机了。

因为咱也不知道这个程序出来为的是什么?引流?哎。。。

其实我感觉我博客也不出名,我居然也无一幸免,哎。。。真宠幸我呀

验证码绕过漏洞原理:

1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
2、正常留言输入验证码进行BurpSuite抓包
3、将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在,再将imgcode修改成空。
4、发送数据包,可见没有提示失败(302跳转了),说明评论成功。
5、载入一个字典,即可刷评论。
6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸

处理方案一:

1.开启session并且将是否为空的行为进行判断
2.违规词拦截(emlog用户免费提供emlog违规词拦截魔改插件和极猫云WAF防护)
3.添加第三方滑块验证

修复方案二:修改Emlog验证码机制
1、打开程序路径/include/lib/checkcode.php文件,把下面代码全部替换到checkcode.php里面即可
<?php
/**
* Emlog验证码防干扰
* 爱优奇博客: http://www.aihaoqi.com/
*/

session_start();

$randCode = '';
$chars = 'abcdefghijkmnpqrstuvwxyzABCDEFGHIJKLMNPRSTUVWXYZ23456789';
for ( $i = 0; $i < 5; $i++ ){
        $randCode .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
}

$_SESSION['code'] = strtoupper($randCode);

$img = imagecreate(75,25) or die("创建图像资源失败,请刷新页面");
$bgColor = isset($_GET['mode']) && $_GET['mode'] == 't' ? imagecolorallocate($img,245,245,245) : imagecolorallocate($img,255,255,255);
$pixColor = imagecolorallocate($img,mt_rand(88, 245), mt_rand(55, 240), mt_rand(99, 200));
//画字符、大小
for($i = 0; $i < 5; $i++){
        $x = $i * 13 + mt_rand(3, 7) - 2;
        $y = mt_rand(0, 3);
        $text_color = imagecolorallocate($img, mt_rand(100, 250), mt_rand(80, 180), mt_rand(90, 220));
        imagechar($img, 5, $x + 5, $y + 3, $randCode[$i], $text_color);
}
//画干扰点
for($j = 0; $j < 240; $j++){
        $x = mt_rand(0,500);
        $y = mt_rand(0,100);
        imagesetpixel($img,$x,$y,$pixColor);
}
//4条横斜线
for ($i=0; $i < 5; $i++) {
    $lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
    $lineX1 = 0;
    $lineX2 = 90;
    $lineY1 = ($i + 1) * 8;
    $lineY2 = ($i + 1) * 15;
    imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}

//4条竖斜线
for ($i=0; $i < 5; $i++) {
    $lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
    $lineY1 = 0;
    $lineY2 = 90;
    $lineX1 = ($i + 1) * 8;
    $lineX2 = ($i + 1) * 15;
    imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}

header('Content-Type: image/png');
imagepng($img);
imagedestroy($img);
效果图:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
玩网2年,网络创业6年,只做离钱最近的事~

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩推荐

鸿蒙互联网 | 2019年八月版真正云豹直播运

2019-10-18 APP源码

鸿蒙互联网 | 首发全新超美ui无模板限制对

2019-10-21 APP源码

鸿蒙互联网 | 基于宝塔面板的sspanel魔改V3

2019-10-08 软件/教程分享

鸿蒙互联网 | 小米手机免安装xp框架开启云

2019-10-08 软件/教程分享

鸿蒙互联网 |可运营级别的支付平台源码 多

2019-10-08 综合源码

鸿蒙互联网 | 高级流量卡售卡商城源码对接

2019-11-10 综合源码

鸿蒙互联网 | 近期热门的SEO黑帽技术-泛目

2019-10-08 综合源码

鸿蒙互联网 | 最新UI默笙站长工具箱V2.0 带

2019-11-03 综合源码

让创业更简单

  • 反馈建议:byzps@qq.com
  • 客服电话:15573841933
  • 工作时间:周一到周五

关于我们

|网站地图

云服务支持

精彩文章,快速检索

关注我们

Copyright 子维 - 期待你的加入~  技术支持:©  子维工作室