Skip to content
0
  • Categories
  • 讨论
  • Recent
  • Tags
  • Popular
  • Top
  • Users
  • Categories
  • 讨论
  • Recent
  • Tags
  • Popular
  • Top
  • Users
Skins
  • Light
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dark
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor
  • Default (Zephyr)
  • No Skin
Collapse
JIKE社区
  1. 首页
  2. 讨论区
  3. 技术专区
  4. 建站经验
  5. 如有乐享博客第三方登录模块漏洞

如有乐享博客第三方登录模块漏洞

Scheduled Pinned Locked Moved 建站经验
2 Posts 2 Posters 606 Views
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • 我是小马甲~M Online
    我是小马甲~M Online
    我是小马甲~
    🤫
    wrote on last edited by
    #1

    2020年2月14日更新:马甲一直以为是由于app key泄露导致的没恶意注册,换了新的APP KEY后 还是不行。看来确实是代码上处理有问题!

    ——————————————————

    最近如有乐享,用户注册模块被恶意注册了5000多用户。
    初步判断是利用微博三方登陆 渠道注册进来的。
    目前还不知道是 微博三方登陆有问题?还是多梦主题三方登陆有漏洞。

    马甲后台查了一下,从7月份开始就有人陆续利用BUG注册
    ,最近貌似注册的最疯狂~ 可能漏洞被公开了

    临时解决方案:

    1)关闭微博三方登陆
    2)在Nginx修改一下配置,将微博登陆回调返回403

    location ~/?connect=weibo* {
    return 403;
  }

    3)清理现有垃圾数据。
    查看从微博注册进来用户的ID

    select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo'

    #新建临时表a  只有一个字段ID
insert into a select DISTINCT user_id  from wp_usermeta where meta_key ='dmeng_avatar' and meta_value='weibo' and user_id >26900

    user_id >26900 如有博客ID大于 26900 的都可能存在异常,自己根据数据去判断

    #查询所有注册过平台但是没有登录过的账号

    select ID from wp_users where id not in (select distinct user_id from wp_usermeta where meta_key='dmeng_latest_login')

    删除数据!(提前备份,免的出错!!!)
    delete from wp_users where id in (SELECT id from a)
    delete from wp_usermeta where user_id in (SELECT id from a)

    唐宋元明清,连排小工兵!

    1 Reply Last reply
    0
    • X Offline
      X Offline
      xhm18649
      🍌
      wrote on last edited by
      #2

      老哥,漏洞披露一下,分析下具体漏洞。

      1 Reply Last reply
      0
      Reply
      • Reply as topic
      Log in to reply
      • Oldest to Newest
      • Newest to Oldest
      • Most Votes

      Popular Topics - 热门主题
      • 移动问卷调查,白嫖话费(概率)
        J
        js
        1
        2
        92
      • 🇫🇷Lebara PayGo eSIM简略食用教程
        TiFanT
        TiFan
        1
        2
        154
      • Ubuntu24 系统 Python3.12.3 升级 Python3.12.10
        undefined
        1
        1
        69
      • 嘉立创[疯狂星期三]免费白嫖铝合金外壳
        T
        tssz
        0
        4
        152
      • 免费美国科技节点,每个月800G
        4
        4605
        0
        3
        118
      • 工行云网点浏览打卡领立减金
        J
        js
        0
        2
        68

      • Login
      • Don't have an account? Register
      • Login or register to search.
      百度网盘
      2,121 topics
      夸克网盘
      936 topics
      连续剧
      882 topics
      国产剧
      672 topics
      美剧
      413 topics
      中国移动
      307 topics
      动画片
      287 topics
      动作片
      245 topics

      90

      Online

      42.0k

      Users

      42.0k

      Topics

      112.9k

      Posts
      • First post
        Last post