为什么三大主流论坛 都可以伪造数据进行群发帖子呢?

分类:安全,问题集 | 作者:凹凸曼 | 发表于2011/07/11

最近有人反应有一款软件可以 群发三大主流论坛的帖子。可能对于推广的人来说,无疑是一件好事!

但是对于管理论坛的人来说确实是噩梦!

先可以看一下面的图是介绍它的功能是多么的强大的

个人感觉 不论是论坛还是开源的系统来说,都有一个通病!研究的你的代码 及里面的一些算法,更能找到入侵之处

造成一些不可能估计的后果!

开源系统,重要的一点是我们如何使用,切忌记住的 一定在开源系统重要的地方加上一些自己的验证机制,防止被人攻击!

把系统开源的团队,不可能什么都做很完美。这就是为什么三大主流论坛 都可以通过伪造数据就群发帖子!

研究了哈开源(DISCUZ)论坛群发,是伪造HTTP_REFERER,COOKIE造的孽!(其他论坛类似)

因为康盛系统本身有一层验证机制(你看帖子提交表单就有formhash隐藏域),

通过伪造HTTP_REFERER,COOKIE很容易获取到

唉!没有发这个问题确实很难从根本上解决,俗话说的道高一丈,魔高一尺!

我们只能通过添加新验证机制,就是加上一层外壳!即使你伪造了,还要通过这一层验证机制!
 

我目前的思路是再加一层cookie验证机制:

1、确定一个唯一密钥ID

2、写一个自己独特加密,解密算法

3、加密新加入的cookie

4、在提交发帖或回复时,解密cookie. 验证密钥ID,是否一致

这种方法即使黑客看到你cookie也花时间去破解!

对于以前完全把代码(算法)暴露给对方,是不是更安全呢!

本文出自 “凹凸曼” 博客,请务必保留此出处http://www.apoyl.com/?p=1043

Tag:

日志信息 »

该日志于2011-07-11 08:26由 凹凸曼 发表在安全, 问题集分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

目前盖楼 (0)层:

发表评论 »

« »