CHEN4.x所有版本曝严重安全漏洞

@Ta 2014-10-26 17435点击

CHEN4.x所有版本（包括4.6）曝严重安全漏洞，该漏洞可以导致游客无需密码登录任意会员账号，原因是对于登录状态的判断不严格。
具体为：首先到任意一个chen4.x的挂Q网站，将cookie中“gl”这个值改为你想要登录的会员名（没有这个值就新建一个），会员名可以在首页签到记录、聊天室中都能看到。然后进入 /html/user.php 你就会发现竟然已经登录进来了。进入 /user/sc.php?my=mm 可以直接重置密码。。。在这里想给原作者提个醒，因为这个漏洞放出可能意味着所有的chen挂机网站都处于危险之中。希望会修复的尽快修复。目前我修改的chen4.6优化版已经修复这个漏洞。

隐藏样式查看源码

回复列表(29|隐藏机器人聊天)

1

JDJX

@Ta / 2014-10-26 / 样 / 源

@net909，你发布的有bug吗？
2

怒放家族de霖

@Ta / 2014-10-26 / 样 / 源

不严谨啊，，，，
3

消失的彩虹海

@Ta / 2014-10-26 / 样 / 源

@JDJX，当然是修复了的
4

JDJX

@Ta / 2014-10-26 / 样 / 源

@net909，哦哦哦
5

趣航科技小智

@Ta / 2014-10-26 / 样 / 源

不过还不至于黑掉全部站点吧
6

MINE

@Ta / 2014-10-26 / 样 / 源

@net909，http://minegq.aliapp.com
这个你试试。
7

Bewind

@Ta / 2014-10-26 / 样 / 源

神马年代了，还挂Q，好玩么→_→
8

水月

@Ta / 2014-10-26 / 样 / 源

3.62路过
9

嚻

@Ta / 2014-10-26 / 样 / 源

早就不用挂Q程序了，挂3gQQ还有什么用，又没活跃天数
10

消失的彩虹海

@Ta / 2014-10-26 / 样 / 源

@MINE，我已经把admin的密码重置成了123456，你自己看看吧
11

MINE

@Ta / 2014-10-26 / 样 / 源

@net909，草，，，，，，，不小心吧帐号删掉了。你干嘛要改admin的密码。我的70多个QQ号啊。
12

消失的彩虹海

@Ta / 2014-10-26 / 样 / 源

@MINE，为什么要删账号？你直接登录改密码不就行了。你这样的话只能在数据库中手动添加一个admin账号了
13

MINE

@Ta / 2014-10-26 / 样 / 源

@net909，我是去后台改密码的。没想到点错了。
14

梁杰s

@Ta / 2014-10-26 / 样 / 源

有没有修复的教程呢？
15

MINE

@Ta / 2014-10-26 / 样 / 源

@net909，怎么修复！？
16

MINE

@Ta / 2014-10-26 / 样 / 源

@net909，cookie怎么查看？
17

tasy5kg

@Ta / 2014-10-26 / 样 / 源

支持彩虹！以前我Mrp手机上的QQ，QQ浏览器，冒泡浏览器用的都是彩虹的修改版...
18

_abc

@Ta / 2014-10-26 / 样 / 源

b对s说：我要登陆，这是我的帐号密码。
s说：好的，你登陆成功。对了，记住你叫小明。
b又对s说：我要改密码。
s说：你叫什么名字，登陆没有
b说：我登陆了呢，我叫小红。
s说：ok,修改成功
...
19

消失的彩虹海

@Ta / 2014-10-26 / 样 / 源

@MINE 修复比较麻烦，我昨天发布的就是修复版，你可以参考。cookie用电脑看比较方便

添加新回复

回复需要登录。