825 Star 2.8K Fork 1.3K

Discuz / DiscuzX

Merged
!338 修复 UCenter创始人密码爆破漏洞

老周部落:master Discuz:master

老周部落 Created on: 2020-01-06 18:18
缺陷/BUG
安全/security
Reviewer 134128 discuzx 1578919084 134392 zoewho 1578919099 134400 3dming 1578919100 146896 lootan 1578919519 1157835 comsenzdiscuz 1578943409 5247157 oldhuhu 1578983196   Tester 5247157 oldhuhu 1578983196

此PR来源于DxGit Forker群内日常交流,感谢@Coxxs 大佬提出此功能具有安全隐患。

此PR为安全性问题,建议所有站点尽快更新。(手动security tag :smile:

目前在UCenter系统上通过URL添加应用模块内发现一个漏洞,此漏洞可以对UCenter创始人密码进行无限次爆破,且后台日志无记录。

考虑到此功能不支持验证码等验证形式,本PR添加了通过URL添加应用功能的开关,强烈建议只有需要通过URL添加应用时开启此开关。

同时考虑到此功能有可能会被打开,因此同时参考后台登录模块策略,对从URL添加应用来的登录请求进行限制(IP、用户),并且对从此API发起的登录、添加、查询操作均纳入UCenter现有日志体系进行统一监管。

关联Issue: https://gitee.com/ComsenzDiscuz/DiscuzX/issues/I17GH0

11 comments, 4 participants 1773794 laozhoubuluo 1594507411 397267 mushan3420 1578922635 1182630 gududeweidao 1578945378 5247157 oldhuhu 1578983196

Show action logs Hide action logs
老周部落 added label 安全/security 2021-06-28 11:01
oldhuhu merged Pull Request 2020-01-07 19:52
oldhuhu check passed 2020-01-07 19:52
oldhuhu test passed 2020-01-07 19:52
老周部落 updated description 2020-01-06 22:45
老周部落 push code 2020-01-06 22:32
老周部落 push code 2020-01-06 22:10
老周部落 push code 2020-01-06 19:43
老周部落 assigned tester oldhuhu 2020-01-06 18:18
老周部落 assigned reviewer 湖中沉 2020-01-06 18:18
老周部落 assigned reviewer oldhuhu 2020-01-06 18:18
老周部落 assigned reviewer monkeye 2020-01-06 18:18
老周部落 assigned reviewer Discuz! 2020-01-06 18:18
老周部落 assigned reviewer LooTan 2020-01-06 18:18
老周部落 assigned reviewer comsenz-service 2020-01-06 18:18
老周部落 assigned reviewer DiscuzX 2020-01-06 18:18
老周部落 set priority to Main 2020-01-06 18:18
老周部落 added label bug 2020-01-06 18:18
PHP
1
https://gitee.com/Discuz/DiscuzX.git
git@gitee.com:Discuz/DiscuzX.git
Discuz
DiscuzX
DiscuzX

Search

102255 3a0e046c 1850385 102255 7aaa926c 1850385