Discuz 3.4是目前discuz論壇的最新版本,也是繼X3.2、X3.3來,最穩定的社群論壇系統。目前官方已經停止對老版本的更新檔更新與更新,直接在X3.4上更新了,最近我們SINE安全在對其安全檢測的時候,發現網站漏洞,該漏洞是由于使用者登入論壇的時候調用的微信接口,導緻可以進行任意登入,甚至可以登入到管理者的賬号裡去。
關于Discuz漏洞詳情
漏洞的産生是在plugin檔案夾下的wechat目錄裡的wechat.inc.php代碼中的220-240行的代碼裡,代碼如下:
我們可以看到代碼裡的邏輯功能設計師如何,首先會從會員的這個資料表裡進行查詢微信接口的ID,是否在會員表裡有相對應,并綁定好的會員賬号,如果有資料庫傳回資料給前端。然後再進行下一步,從common這個表裡進行擷取會員uID值的使用者ID,以及使用者的所有資訊。
根據discuz的設計邏輯,我們可以看出隻要知道了使用者使用微信接口openid就能登入到其他使用者的賬戶裡面去,我們仔細的看下discuz關于微信API接口這個文檔,openid這個值是不變的,隻有使用者将微信号綁定到論壇裡,才能從公衆号中擷取到這個openid值,正常的請求下是擷取不到這個值的。
那麼我們就可以僞造參數對其進行登入嘗試,安全測試看下是否會擷取到其他人的openid值來,我們用id為空的一個使用者進行登入,發現可以登入但是并沒有綁定任何的論壇賬号,但注冊了一個新的賬戶到了論壇裡。從整個的邏輯代碼中,我們發現了漏洞,可以解除任意ID綁定的微信,然後我們再來登入openid為空的賬号,我們發現可以登入任何會員的賬戶了。截圖如下:
如果管理者的賬戶綁定了微信登入,那我們就可以解除他綁定的ID,我們用空ID登入就可以進到管理者賬号裡了。關于discuz網站漏洞的修複,建議網站的管理者對代碼進行删除,在plugin/wechat/wechat.inc.php裡的230行到247行代碼全部注釋掉即可。網站漏洞的修複,可以對比程式系統的版本進行更新,也可以找程式員進行修複,如果是你自己寫的網站熟悉還好,不是自己寫的,建議找專業的網站安全公司來處了解決網站被篡改的問題,像Sinesafe,綠盟那些專門做網站安全防護的安全服務商來幫忙。