跳转至内容
0
  • 版块
  • 讨论
  • 最新
  • 标签
  • 热门
  • 顶端
  • 用户
  • 版块
  • 讨论
  • 最新
  • 标签
  • 热门
  • 顶端
  • 用户
皮肤
  • Light
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dark
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor

  • 默认(Zephyr)
  • 不使用皮肤
折叠
JIKE社区
  1. 首页
  2. 讨论区
  3. 技术专区
  4. 建站经验
  5. 如有乐享博客第三方登录模块漏洞

如有乐享博客第三方登录模块漏洞

已定时 已固定 已锁定 已移动 建站经验
2 帖子 2 发布者 560 浏览
  • 从旧到新
  • 从新到旧
  • 最多赞同
回复
  • 在新帖中回复
登录后回复
此主题已被删除。只有拥有主题管理权限的用户可以查看。
  • 我是小马甲~M 在线
    我是小马甲~M 在线
    我是小马甲~
    🤫
    写于 最后由 编辑
    #1

    2020年2月14日更新:马甲一直以为是由于app key泄露导致的没恶意注册,换了新的APP KEY后 还是不行。看来确实是代码上处理有问题!

    ——————————————————

    最近如有乐享,用户注册模块被恶意注册了5000多用户。
    初步判断是利用微博三方登陆 渠道注册进来的。
    目前还不知道是 微博三方登陆有问题?还是多梦主题三方登陆有漏洞。

    马甲后台查了一下,从7月份开始就有人陆续利用BUG注册
    ,最近貌似注册的最疯狂~ 可能漏洞被公开了

    临时解决方案:

    1)关闭微博三方登陆
    2)在Nginx修改一下配置,将微博登陆回调返回403

    location ~/?connect=weibo* {
        return 403;
      }
    

    3)清理现有垃圾数据。
    查看从微博注册进来用户的ID

    select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo'
    
    #新建临时表a  只有一个字段ID
    insert into a select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo' and user_id >26900
    

    user_id >26900 如有博客ID大于 26900 的都可能存在异常,自己根据数据去判断

    #查询所有注册过平台但是没有登录过的账号

    select ID from wp_users where id not in (select distinct user_id from wp_usermeta where meta_key='dmeng_latest_login')
    

    删除数据!(提前备份,免的出错!!!)
    delete from wp_users where id in (SELECT id from a)
    delete from wp_usermeta where user_id in (SELECT id from a)

    唐宋元明清,连排小工兵!

    1 条回复 最后回复
    0
    • X 离线
      X 离线
      xhm18649
      🍌
      写于 最后由 编辑
      #2

      老哥,漏洞披露一下,分析下具体漏洞。

      1 条回复 最后回复
      0
      回复
      • 在新帖中回复
      登录后回复
      • 从旧到新
      • 从新到旧
      • 最多赞同


      Popular Topics - 热门主题
      • Bug! Bug !Google One 学生优惠 可无门槛验证
        mztcM
        mztc
        3
        14
        5.0k

      • 中国科技云免费白嫖1 年 Cursor 使用权!快~~~
        D
        d914954480
        1
        7
        1.9k

      • MySQL 8.0 OCP 限时免费考
        HebutMrLiuH
        HebutMrLiu
        1
        5
        309

      • 免费科技代理流量巨多
        孤
        孤傲的王
        1
        4
        96

      • 阿里云国际站轻量应用服务器 2C+1G+200M带宽 仅9.9美元一年!
        T
        Test
        1
        4
        1.2k

      • <海外剧>行尸走肉:死城 第二季[2025][惊悚 恐怖 冒险][附行尸走肉 系列全部]
        我是小马甲~M
        我是小马甲~
        1
        3
        23

      • 登录

      • 没有帐号? 注册

      • 登录或注册以进行搜索。
      百度网盘
      1,175 个主题
      连续剧
      698 个主题
      国产剧
      564 个主题
      美剧
      338 个主题
      中国移动
      307 个主题
      动画片
      231 个主题
      中国电信
      222 个主题
      动作片
      206 个主题

      180

      在线

      39.9k

      用户

      40.1k

      主题

      110.4k

      帖子
      • 第一个帖子
        最后一个帖子