首页 | 心情日记 | 建站心得 | 编程技术 | 大盘分析 | 股市信息 | 学习园地 | 电脑技巧 | 物流外贸 | 另类其它 | 站长推荐 | 给我留言 | 相册

用户登陆
用户:
密码:
 
不保存保存一天
保存一月保存一年

站点日历
73 2024 - 12 48
1234567
891011121314
15161718192021
22232425262728
293031


站点统计

最新评论

日志搜索

 标题   内容


用ASP程序实现网站在线人数统计 防止COOKIES被欺骗
未知 彻底解决PJBlog垃圾广告评论和留言问题   [ 日期:2010-03-10 21:22:28 ]   [ 来自:本站原创 ]

海外邮件中继,海外退信中继,美国高速VPS,不限流量VPN,邮局维护和管理,邮件网关,EMOS邮件中继,POSTFIX邮件中继,Winwebmail邮件中继,Winmail邮件中继,DBMail邮件中继,JDMail邮件中继,Exchange邮件中继,MDaemon邮件中继 淘宝店:http://shantan.taobao.com 云邮科技官网:www.yunrelay.com

【字体设置:
为了对付这些可耻卑贱的所谓SEO“专家”,舜子在最新的2.7版的PJ中已经更换了验证码,可是很难理解依然会有那么多的广告机能随意的发垃圾。而且即使验证码显示为空白照样会有很多广告。而最近网络上一位介于牛A与牛C之间的哥们发现了PJBLOG存在一个严重的外部提交漏洞。

漏洞成因:

     blogcomm.asp文件对验证码判断不严格。
如果用户没有请求过GetCode.asp文件,www.x-force.cn那么服务器端Session里面的GetCode值为空,而用户提交的数据里面验证码也为空,这样刚好空等于空,反而通过了验证码验证。

     也就是说,所谓SEO“专家”的广告群发器不去请求注册码的页面也就能直接发评论、留言,所以无论验证码多么强大,垃圾广告依然还有~~

     知道原理后,其实用 XMLHTTP 就能非常轻松地写出一个能绕过PJBlog验证码的广告群发机了,核心代码是相当的简单的!不过为了广大PJ用户,www.x-force.cn我还是不发出来吧~其实看到这里能写出来的人绝对不是少数了。话说网上某人的站子上就秀了出来。。。

不过,解决这个问题也是非常简单的,下面就来了~

修补评论漏洞办法:
     修改blogcomm.asp文件,在94行(大概)的If判断表达式中加入or IsEmpty(Session(”GetCode”))即可。

     修改后应该如下:
     IF (memName=empty or blog_validate=true) and (cstr(lcase(Session(”GetCode”)))<>cstr(lcase(validate)) or IsEmpty(Session(”GetCode”))) then


修补留言本漏洞办法:www.x-force.cn
     修改Plugins/GuestBook/bookaction.asp文件,找到 IF cstr(lcase(Session(”GetCode”)))<>cstr(lcase(validate)) 后面加上 or IsEmpty(Session(”GetCode”)) 即可。

     修改后应该如下:
     IF (cstr(lcase(Session(“GetCode”)))<>cstr(lcase(validate))) or IsEmpty(Session(“GetCode”)) then
     嗯,就改这两个地方而已。搞定了。过一两天看看还有被人乱发广告不?人肉广告可不算的哟!

     言归正传,因为不同的人使用的 PJBlog 的版本不尽相同,也有些朋友自己曾改过一些代码。所以我不能确定这里提供的文件是否能正常,如果你确实不想搞代码的话就去试试。否则的话,还是建议你老老实实地修改代码吧。但是,但是!!任何操作之前记得记得要备份好旧的文件啊!!!这是最最最最重要的!

暂时没有评论
   发表评论 - 不要忘了输入验证码哦!
作者: 用户:  密码:  我要注册 验证码: 
为防止广告注册机程序,验证码不会自动显示,请点击此处显示或者(刷新)验证码!
评论:

禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
确定发布?
最多可以输入200个字,目前你已经输入了0个字;你今日还可以发表10条评论!
 
   

CopyRight © 2008-2010 广东金融学院030904班 All Rights Reserved
Powered by www.030904.com