会飞的鱼Blog
记录学习与后端知识并分享学习代码过程(会飞的鱼Blog)
1 fee主题免费版V1.9介绍与更新记录 27W+ 2 emlog程序生成读取缓存方式调用文章列表 26W+ 3 emlog模板:fee主题商业版V2.1 功能介绍 23W+ 4 分享个360水滴偷拍情趣酒店14部全集另带迅雷安卓版下载 16W+ 5 CorePress去除版权教程 11W+
未分类

修改Emlog验证码机制,有效防止恶意识别/解决恶意评论灌水

会飞的鱼 1 1015 2020年9月13日

Emlog被恶意评论灌水解决方法,关于Emlog验证码机制问题,用emlog程序都知道,它已经不存在更新了,所以emlog评论验证码代码年久失修了,可以无视验证码评论,因此咱也不说是谁的刷灌水机了。因为咱也不知道这个程序出来为的是什么?引流?哎。。。

其实我感觉我博客也不出名,我居然也无一幸免,哎。。。真宠幸我呀

 

验证码绕过漏洞原理:

1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
2、正常留言输入验证码进行BurpSuite抓包
3、将PHPSESSID修改成随意一个值,目的是让其$_SESSION不存在,再将imgcode修改成空。
4、发送数据包,可见没有提示失败(302跳转了),说明评论成功。
5、载入一个字典,即可刷评论。
6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸

处理方案一:

 

1.开启session并且将是否为空的行为进行判断
2.违规词拦截(emlog用户免费提供emlog违规词拦截魔改插件和极猫云WAF防护)
3.添加第三方滑块验证

修复方案二:修改Emlog验证码机制

<?php
/**
 * Emlog验证码防干扰
 * 梦城博客: https://www.dcqzz.cn/
 */

session_start();

$randCode = '';
$chars = 'abcdefghijkmnpqrstuvwxyzABCDEFGHIJKLMNPRSTUVWXYZ23456789';
for ( $i = 0; $i < 5; $i++ ){
    $randCode .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
}

$_SESSION['code'] = strtoupper($randCode);

$img = imagecreate(75,25) or die("创建图像资源失败,请刷新页面");
$bgColor = isset($_GET['mode']) && $_GET['mode'] == 't' ? imagecolorallocate($img,245,245,245) : imagecolorallocate($img,255,255,255);
$pixColor = imagecolorallocate($img,mt_rand(88, 245), mt_rand(55, 240), mt_rand(99, 200));
//画字符、大小
for($i = 0; $i < 5; $i++){
    $x = $i * 13 + mt_rand(3, 7) - 2;
    $y = mt_rand(0, 3);
    $text_color = imagecolorallocate($img, mt_rand(100, 250), mt_rand(80, 180), mt_rand(90, 220));
    imagechar($img, 5, $x + 5, $y + 3, $randCode[$i], $text_color);
}
//画干扰点
for($j = 0; $j < 240; $j++){
    $x = mt_rand(0,500);
    $y = mt_rand(0,100);
    imagesetpixel($img,$x,$y,$pixColor);
}
//4条横斜线
for ($i=0; $i < 5; $i++) { 
    $lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
    $lineX1 = 0;
    $lineX2 = 90;
    $lineY1 = ($i + 1) * 8;
    $lineY2 = ($i + 1) * 15;
    imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}

//4条竖斜线
for ($i=0; $i < 5; $i++) { 
    $lineColor = imagecolorallocate($img, rand(50, 150), rand(50, 150), rand(50, 150));
    $lineY1 = 0;
    $lineY2 = 90;
    $lineX1 = ($i + 1) * 8;
    $lineX2 = ($i + 1) * 15;
    imageline($img, $lineX1, $lineY1, $lineX2, $lineY2, $lineColor);
}

header('Content-Type: image/png');
imagepng($img);
imagedestroy($img);

效果图:

本文由 @会飞的鱼 于 2020-9-13 发布在 会飞的鱼Blog,如无特别说明,本博文章均为原创,转载请保留出处。

网友评论当前共有1条评论

会飞的鱼 V

一条会飞的鱼!

745 文章
7298 评论
1087 万 阅读
8年 博龄
最新文章
最新评论
丢塔网
6个月前 (2024-06-04)

这个主题简介啊

Emlog主题Come - 20231105 v1.2

小磊
6个月前 (2024-05-30)

看看

FLY 1.4 开源美化V2极致版EMLOG主题

开箱挖掘机
6个月前 (2024-05-27)

大大 请教一下fee主题现在还能下载吗?

emlog模板:fee主题商业版V2.1 功能介绍

会飞的鱼
8个月前 (2024-03-31)

@酷鱼:没打算开放下载呢

Emlog主题Come - 20231105 v1.2

安安
8个月前 (2024-03-30)

没有看到有链接啊,打算找个能开服的和朋友...

CFAM后台系统 支持所有CF2.0服务端 V2.0

标签

会飞的鱼 在线咨询

在线时间:9:00-22:00
周六、周日:14:00-22:00