转载修改Emlog验证码机制,有效防止恶意识别/解决恶意评论灌水
验证码绕过漏洞原理:
1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
2、正常留言输入验证码进行BurpSuite抓包
3、将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在,再将imgcode修改成空。
4、发送数据包,可见没有提示失败(302跳转了),说明评论成功。
5、载入一个字典,即可刷评论。
6、可利用 *** IP多线程即可实现无拦截评论恶意灌水轰炸
1.开启session并且将是否为空的行为进行判断
2.违规词拦截(emlog用户免费提供emlog违规词拦截魔改插件和极猫云WAF防护)
3.添加第三方滑块验证
修复方案二:修改Emlog验证码机制
1、打开程序路径/include/lib/checkcode.php文件,把下面代码全部替换到checkcode.php里面即可
<?php/**
* Emlog验证码防干扰
* 梦城博客: https://www.dcqzz.cn/
*/
session_start();
$randCode = '';
$chars = 'abcdefghijkmnpqrstuvwxyzABCDEFGHIJKLMNPRSTUVWXYZ23456789';
for ( $i = 0; $i < 5; $i++ ){
$randCode .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
}
$_SESSION['code'] = strtoupper($randCode);
$img = imagecreate(75,25) or die("创建图像资源失败,请刷新页面");
$bgColor = isset($_GET['mode']) && $_GET['mode'] == 't' ? imagecolorallocate($img,245,245,245) : imagecolorallocate($img,255,255,255);
$pixColor = imagecolorallocate($img,mt_rand(88, 245), mt_rand(55, 240), mt_rand(99, 200));
//画字符、大小
for($i = 0; $i < 5; $i++){
$x = $i * 13 + mt_rand(3, 7) - 2;
$y = mt_rand(0, 3);
$text_color = imagecolorallocate($img, mt_rand(100, 250), mt_rand(80, 180), mt_rand(90, 220));
imagechar($img, 5, $x + 5, $y + 3, $randCode[$i], $text_color);
}
//画干扰点
for($j = 0; $j < 240; $j++){
$x = mt_rand(0,500);
$y = mt_rand(0,100);
imagesetpixel($img,$x,$y,$pixColor);
}
//4条横斜线
for ($i=0; $i < 5; $i++) {
$lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
$lineX1 = 0;
$lineX2 = 90;
$lineY1 = ($i + 1) * 8;
$lineY2 = ($i + 1) * 15;
imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}
//4条竖斜线
for ($i=0; $i < 5; $i++) {
$lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
$lineY1 = 0;
$lineY2 = 90;
$lineX1 = ($i + 1) * 8;
$lineX2 = ($i + 1) * 15;
imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}
header('Content-Type: image/png');
imagepng($img);
imagedestroy($img);
原文地址:https://www.dcqzz.cn/post/959
相关文章
Emlog文章发布时间美化代码
文章时间美化如几天前等等 本站专用的 <?php function sydate($datetemp, $dstr = 'Y-m-d H:i',$mdstr = 'm月d日') { $tim...
Emlog资源网关闭缓存后出现问题如何解决?
Emlog资源网关闭缓存后出现问题如何解决? Emlog系统是很好用,对SEO也十分友好,开发者众多,在资源网这里使用Emlog的程序人不在少数,包括本站,可是Emlog的缓存机制不是不是很...
EMLOG博客给导航加自定义字体图标[美化导航新方法]
分享一个思源常用的给emlog加字体图标的方法 起源,,几天前写一个律师模板在手机端有个导航,需要加字体图标如图 进入正题 给导航加字体图标 1.首先,先引入字体图标(如模板自带,请省略)...
Emlog标签多,用户多造成后台文章发布卡时间长的解决方法
EMLOG的缓存说明Emlog程序以其轻巧简单的特点受到不少人的青睐,但是对于一个网站数据量比较大的EMLOG网站来说,EMLOG程序自带的缓存功能就有一点鸡肋了。所以这里分享一下如何给EMLOG...
Emlog今日文章时间加红 今日未发文则显示昨日时间加红
Emlog今日文章时间加红 只需要写一个判断,那如果今日未发文则显示昨日时间加红怎么实现呢? 首先我们需要判断一下今日是否发文 把代码放到模板下module.php中 &l...
EMLOG通过不同域名使用不同的模板
只在emlog根目录的index.php简单修改就能实现,也可以做多用户二级域名调用不同的模板。当然也可以修改模板不同域名显示不同用户的文章。 $templet=Option::get('nonce...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!