恶意注册,不存在的邮箱,真会玩,有意思,非常的有意思,作为一个资深的站长,看到会员暴增确实是好事,但是,能不能不要投机取巧,作为一个有能力的程序员,是绝对不允许这种事情继续发生的。
《织梦程序防止会员恶意注册的方法》上线之前,做过测评,对系统进行测试和防护,防止恶意会员注册。但是,根本想不到,有些人,居然这么会玩,把漏洞玩出了新高度。
漏洞复现
验证时的邮箱:AAA@qq.com 正确的邮箱,用来获取邮箱验证码。
注册时的邮箱:BBB@baidu.com 错误的邮箱,获取到验证码以后,再次修改注册时的邮箱。
注册好的邮箱:BBB@baidu.com 这是个漏洞,缺少数据效验,让不存在的邮箱能有机可乘。
这水平,这技术,平台的漏洞,一点毛病都没有,我真的是涨知识了,注册会员还能这么玩,又被恶意注册上了一课。这家伙,绝哔是个技术仔,很优秀,是人才,能成大事,以后多去别的平台发扬光大。
我的平台,注册机制是邮箱验证。但是,就有那么些人,投机倒把的搞事情,发送验证码的邮箱,是AAA@qq.com后缀的,等获取验证码以后,邮箱改为BBB@baidu.com后缀的,改完以后就开始点击注册。像@baidu.com邮箱后缀,这种自定义的邮箱后缀,我当真是见都没见过的呢。
一律封号
你皮个啥,拿我网站来练手,封号已经算是仁慈了。对于以上无效的邮箱后缀,现在已经全面封号处理了,不要抱怨,大家都相互理解一下。如果,我不会技术,如果,我不懂修复,那么,这个漏洞将一直持续下去。但作为一个会技术、会修改、懂代码、会修复的技术仔,这种事情绝不允许再有。
个人隐私
之前,随意注册,不需要任何验证的,但是,那样的话,沉淀的会员太多了,我的网站,不需要这种无使用的账号,所以,我就给网站加了一个注册时邮箱验证。不需要手机号,不需要绑定身份证,也不需要绑定银行卡,更不需要注册后上传身份证正反面。邮箱不算隐私,我又不做推广,我也不做宣传,更不会私聊你,像这种套路个人信息的事情,我是不做的。
漏洞修复
我的网站,用的是织梦,既然发现漏洞,那就马上修复漏洞。这种人才,我拒绝TA使用我的网站,如果站长不会修复,真的会被人嘲笑一辈子,还有可能被拿来当反面教程。
开始教程
①、打开 /include/common.func.php 搜索
ResetVdValue()
在这个方法下面加,是整个方法下面哦,不是这个方法里面。
②、打开 /member/reg_new.php 搜索
//会员的默认金币
敲个回车,在它上面加
完成,在验证完成后,再对会员数据进行一次效验。简简单单的两步,就能完美的修复,这个会员注册漏洞。完美的嘲讽下那人,作为精通织梦的十级玩家,你还在拿我的网站来练手,那你算是找错练手对象了。
本文结束
评论专区
发表评论
评论列表(无评论)