Skip to content
0
  • Categories
  • 讨论
  • Recent
  • Tags
  • Popular
  • Top
  • Users
  • Categories
  • 讨论
  • Recent
  • Tags
  • Popular
  • Top
  • Users
Skins
  • Light
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dark
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor

  • Default (Zephyr)
  • No Skin
Collapse
JIKE社区
  1. 首页
  2. 讨论区
  3. 技术专区
  4. 建站经验
  5. 如有乐享博客第三方登录模块漏洞

如有乐享博客第三方登录模块漏洞

Scheduled Pinned Locked Moved 建站经验
2 Posts 2 Posters 597 Views
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • 我是小马甲~M Offline
    我是小马甲~M Offline
    我是小马甲~
    🤫
    wrote on last edited by
    #1

    2020年2月14日更新:马甲一直以为是由于app key泄露导致的没恶意注册,换了新的APP KEY后 还是不行。看来确实是代码上处理有问题!

    ——————————————————

    最近如有乐享,用户注册模块被恶意注册了5000多用户。
    初步判断是利用微博三方登陆 渠道注册进来的。
    目前还不知道是 微博三方登陆有问题?还是多梦主题三方登陆有漏洞。

    马甲后台查了一下,从7月份开始就有人陆续利用BUG注册
    ,最近貌似注册的最疯狂~ 可能漏洞被公开了

    临时解决方案:

    1)关闭微博三方登陆
    2)在Nginx修改一下配置,将微博登陆回调返回403

    location ~/?connect=weibo* {
        return 403;
      }
    

    3)清理现有垃圾数据。
    查看从微博注册进来用户的ID

    select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo'
    
    #新建临时表a  只有一个字段ID
    insert into a select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo' and user_id >26900
    

    user_id >26900 如有博客ID大于 26900 的都可能存在异常,自己根据数据去判断

    #查询所有注册过平台但是没有登录过的账号

    select ID from wp_users where id not in (select distinct user_id from wp_usermeta where meta_key='dmeng_latest_login')
    

    删除数据!(提前备份,免的出错!!!)
    delete from wp_users where id in (SELECT id from a)
    delete from wp_usermeta where user_id in (SELECT id from a)

    唐宋元明清,连排小工兵!

    1 Reply Last reply
    0
    • X Offline
      X Offline
      xhm18649
      🍌
      wrote on last edited by
      #2

      老哥,漏洞披露一下,分析下具体漏洞。

      1 Reply Last reply
      0
      Reply
      • Reply as topic
      Log in to reply
      • Oldest to Newest
      • Newest to Oldest
      • Most Votes


      Popular Topics - 热门主题
      • IntelliJ IDEA Ultimate 免费3个月兑换码,我也发一个
        Y
        yafengliang
        2
        5
        467

      • 速度!Jetbrains 全家桶免费一年
        我是小马甲~M
        我是小马甲~
        1
        8
        1.3k

      • 大厂大厂
        X
        xq
        1
        7
        80

      • JetBrain All Products Pack 降级订阅有效期最多能延长3年!
        A
        abcpython
        1
        4
        921

      • 360纳米
        I
        ixiaotian
        1
        3
        58

      • <港剧>守诚者[2025][动作 悬疑 犯罪][陈小春 李治廷 韩雪 任达华 何润东 熊黛林 李丽珍]国粤双语
        爱之梦梦爱
        爱之梦梦
        0
        2
        15

      • Login

      • Don't have an account? Register

      • Login or register to search.
      百度网盘
      1,518 topics
      连续剧
      764 topics
      国产剧
      599 topics
      美剧
      359 topics
      中国移动
      307 topics
      动画片
      262 topics
      中国电信
      222 topics
      动作片
      221 topics

      127

      Online

      40.8k

      Users

      40.6k

      Topics

      111.1k

      Posts
      • First post
        Last post