简要描述:只测试了DEDECMS V5.7系统,之前的版本估计也一样。
在官方地址进行的简单测试,应该算是一个小BUG,利用这个可以无限的刷某篇文章的顶/踩 数值。
详细说明:虽然前端页面做了 游客 只能提交一次的限制,但是直接以URL访问则没有限制,只要按着F5不放,一会就能上百上千。。。。
而且dede的官方也木有做这方面的限制。www.2cto.com。。你懂的
漏洞 证明:http://www.dedecms.com/plus/feedback.php?aid=1102&action=bad&fid=1102
http://www.dedecms.com/news/2011/1201/1102. html
修复方案:对feedback.php 文件加入判断 单个IP提交次数与提交时间间隔限制。
不管换不换IP,一条IP记录保存24小时,到时间清除。
作者SGKer
查看更多关于织梦CMS系统 - 游客无限刷顶踩数值 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did12698