Emlog被恶意评论灌水解决方法，关于Emlog验证码机制问题，用emlog程序都知道，它已经不存在更新了，所以emlog评论验证码代码年久失修了，可以无视验证码评论，因此咱也不说是谁的刷灌水机了。因为咱也不知道这个程序出来为的是什么？引流？哎。。。
其实我感觉我资源网也不出名，我居然也无一幸免，真宠幸我呀！

验证码绕过漏洞原理：
1、利用NULL和空字符串比较的结果是TRUE从而绕过验证码检查逻辑
2、正常留言输入验证码进行BurpSuite抓包
3、将PHPSESSID修改成随意一个值，目的是让其$_SESSION不存在，再将imgcode修改成空。
4、发送数据包，可见没有提示失败（302跳转了），说明评论成功。
5、载入一个字典，即可刷评论。
6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸

修复方案：修改Emlog验证码机制
1、打开程序路径/include/lib/checkcode.php文件，把下面代码全部替换到checkcode.php里面即可

该内容已被管理员隐藏 您需要回复后并刷新才可以查看