【aixiagame首发】【discuz找回密码的漏洞】防攻击邮箱系统

qxyhuiyuan

上回我们说到了这个屏蔽*蜘蛛问题，现在的呢？我们一起来接着看。
大量的站长在很久之前就发现了这个漏洞问题，忘记密码这块取回限制什么都没有，恶意用户频繁发送，最终发送邮箱可能被封禁。
但是官方他不修改这块漏洞，原话如图（吐槽一下，大家又不需要官方提供邮箱功能，设置个取回限制都这么懒）

所以，我们要自行采取防护措施，如何在找回密码上面加限制与巩固。

以DiscuzX 3.4 R20191201建站程序的来巩固找回密码漏洞问题。

首先感谢reCAPTCHA云验证码插件的开发者提供的增加验证码的代码，以及@风乱流年 提供的同一个账号发送频率限制代码。一共分两步。
提供给小白们解决这个取回密码来攻击邮箱的问题，老白就不用看了，写的不一定好。

第一步：找回密码邮件发送频率修改（同一个账号的取回发送限制）

打开source/module/member/member_lostpassword.php

搜索$idstring = random(6);
在上面加入
$memberauthstr = C::t('common_member_field_forum'.$table_ext)->fetch($member['uid']);
        list($dateline, $operation, $idstring) = explode("\t", $memberauthstr['authstr']);
        if($dateline && $operation == 1 && $dateline>TIMESTAMP-900){
                showmessage('getpasswd_has_send');
        }

打开source/language/lang_message.php
搜索'submit_verify_succeed'
在上面加入
'getpasswd_has_send' => '取回密码的方法已通过 Email 发送到您的信箱中，如果您没有收到，请稍等15分钟后重试',
当然，这第一步仅仅只是一个账号不停的取回限制，那黑手也不是傻子，这一步行不通，他肯定用你论坛里不同帐号不停的取回。
这时怎么办？再来个同一个IP的取回发送限制？那黑手更不是傻子，他肯定会用你论坛里不同的IP不同的账号再接着不停的取回。

何处能消停？且看第二步。

第二步：在忘记密码取回的界面加上验证码（阻拦机器人的取回发送限制）

这样的话，除非这黑手真是个傻子，自己在那儿人工发送，不然的话除非他有破解reCAPTCHA云验证码的水平。
所以这一步基本上已经给这黑手打上GAME OVER!了
那如何在这界面加上验证码呢？

discuz官方没在这个位置提供嵌入点，也没有相关的设置项，因此通过插件极难实现接入系统验证码（不是完全不能，但很困难，common嵌入点强行实现性能也会很不好）。
那比较好的解决方案是什么？
在这个界面加上系统验证码，而reCAPTCHA云验证码的插件就是覆盖的系统验证码，所以正好加了系统验证码就带表能加上了reCAPTCHA云验证码。
效果如图：

修改办法：

游客，如果您要查看本帖隐藏内容请回复

这样验证码在配合限制取回密码的邮件发送频率，漏洞就巩固加强了。


最后，总结一下：
第一步：同一个账号的取回发送限制
第二步：阻拦机器人的取回发送限制

如果有什么新方法、好方法，欢迎大家留言，给予遇到的人帮助，先就这样吧，祝大家大吉大利、万事顺心。