BYTE iEntry; 概述Discuz是一个通用的社区论坛软件体系。 最近看到一个Discuz逻辑缝隙，该缝隙源于Discuz微信登陆功用。 Discuz 3.4默许安装了微信登陆。 运用这个缝隙攻击者能够越权登陆论坛其他会员的账号乃至是管理员账号，首要还得看脸。 原理首要看了下作者的描述，“如果有用户点了一下绑定微信，可是并没有绑定” 这句话说的很含糊，开端没有理解什么意思。 然后跟进代码看了一下。 缝隙源码坐落/upload/source/plugin/wechat/wechat.inc.php文件中。 在226-246行：首要看下代码的逻辑：第231行：从common_member_wechatmp表查询对应openid的之一条成果，这儿openid能够由用户操控。 $mpmember = C::t(#wechat#common_member_wechatmp)->fetch_by_openid($wxopenid ? $wxopenid : $_GET[wxopenid]);});假如非要说两者的不同，开发中能够感受到的便是：前者不需求保护icon状况，后者需求针对每个启用的页面办理不同的icon状况。 3）Omnibox，万能工具条，可经过manifest.json中的omnibox特色设置，如下所示。 "omnibox": {

把tracer文件丢到TraceReader检查调用栈，可以发现程序进入com/estrongs/android/f/c$a.run()V来处理了咱们的恳求，留意这儿的类的实例化目标其实是a.class而不是c.class。