CHEN4.x所有版本曝严重安全漏洞 - 讨论/求助

标题: CHEN4.x所有版本曝严重安全漏洞

时间: 2014-10-26

点击: 17447

CHEN4.x所有版本（包括4.6）曝严重安全漏洞，该漏洞可以导致游客无需密码登录任意会员账号，原因是对于登录状态的判断不严格。
具体为：首先到任意一个chen4.x的挂Q网站，将cookie中“gl”这个值改为你想要登录的会员名（没有这个值就新建一个），会员名可以在首页签到记录、聊天室中都能看到。然后进入 /html/user.php 你就会发现竟然已经登录进来了。进入 /user/sc.php?my=mm 可以直接重置密码。。。在这里想给原作者提个醒，因为这个漏洞放出可能意味着所有的chen挂机网站都处于危险之中。希望会修复的尽快修复。目前我修改的chen4.6优化版已经修复这个漏洞。

[隐藏样式|查看源码]

1 . @net909，你发布的有bug吗？

(JDJX/@Ta/2014-10-26 02:09/样/源)

2 . 不严谨啊，，，，

(怒放家族de霖/@Ta/2014-10-26 02:13/样/源)

3 . @JDJX，当然是修复了的

(消失的彩虹海/@Ta/2014-10-26 02:25/样/源)

4 . @net909，哦哦哦

(JDJX/@Ta/2014-10-26 02:29/样/源)

5 . 不过还不至于黑掉全部站点吧

(趣航科技小智/@Ta/2014-10-26 07:26/样/源)

6 . @net909，http://minegq.aliapp.com
这个你试试。

(MINE/@Ta/2014-10-26 07:32/样/源)

7 . 神马年代了，还挂Q，好玩么→_→

(Bewind/@Ta/2014-10-26 07:58/样/源)

8 . 3.62路过

(水月/@Ta/2014-10-26 07:59/样/源)

9 . 早就不用挂Q程序了，挂3gQQ还有什么用，又没活跃天数

(嚻/@Ta/2014-10-26 09:08/样/源)

10 . @MINE，我已经把admin的密码重置成了123456，你自己看看吧

(消失的彩虹海/@Ta/2014-10-26 11:00/样/源)

11 . @net909，草，，，，，，，不小心吧帐号删掉了。你干嘛要改admin的密码。我的70多个QQ号啊。

(MINE/@Ta/2014-10-26 11:08/样/源)

12 . @MINE，为什么要删账号？你直接登录改密码不就行了。你这样的话只能在数据库中手动添加一个admin账号了

(消失的彩虹海/@Ta/2014-10-26 11:09/样/源)

13 . @net909，我是去后台改密码的。没想到点错了。

(MINE/@Ta/2014-10-26 11:16/样/源)

14 . 有没有修复的教程呢？

(梁杰s/@Ta/2014-10-26 11:47/样/源)

15 . @net909，怎么修复！？

(MINE/@Ta/2014-10-26 14:40/样/源)

16 . @net909，cookie怎么查看？

(MINE/@Ta/2014-10-26 14:45/样/源)

17 . 支持彩虹！以前我Mrp手机上的QQ，QQ浏览器，冒泡浏览器用的都是彩虹的修改版...

(tasy5kg/@Ta/2014-10-26 14:52/样/源)

18 . b对s说：我要登陆，这是我的帐号密码。
s说：好的，你登陆成功。对了，记住你叫小明。
b又对s说：我要改密码。
s说：你叫什么名字，登陆没有
b说：我登陆了呢，我叫小红。
s说：ok,修改成功
...

(_abc/@Ta/2014-10-26 16:07/样/源)

19 . @MINE 修复比较麻烦，我昨天发布的就是修复版，你可以参考。cookie用电脑看比较方便

(消失的彩虹海/@Ta/2014-10-26 18:09/样/源)