久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區(qū)

標(biāo)題: 火急求助,關(guān)于formhash校驗(yàn) [打印本頁(yè)]
作者: ysx24    時(shí)間: 2023-1-27 08:12
標(biāo)題: 火急求助,關(guān)于formhash校驗(yàn)
增加的formhash校驗(yàn)提升安全的同時(shí)也帶來(lái)不小的麻煩
比如一些插件直接失效,特別是一些上傳類(lèi)、網(wǎng)盤(pán)類(lèi)插件、手機(jī)端能使用但無(wú)法刪除圖片和附件
特別一些19年斷更的經(jīng)典插件更是直接下崗、
作者不是聯(lián)系不上就是說(shuō)了問(wèn)題但沒(méi)了下文

現(xiàn)在formhash校驗(yàn)給我的作用弊遠(yuǎn)遠(yuǎn)遠(yuǎn)遠(yuǎn)大于利
從哪里去掉formhash校驗(yàn),十分懇請(qǐng)幫助
還有就是不明白為什么formhash校驗(yàn)限制手機(jī)版刪附件,而古董級(jí)的pc模板絲毫不受影響,只限制手機(jī)端的作用是什么
作者: ysx24    時(shí)間: 2023-1-27 08:36
除了手機(jī)模板添加formhash 參數(shù)外,如果一些啟用插件沒(méi)有formhash參數(shù),就會(huì)導(dǎo)致所有版塊在手機(jī)端無(wú)法刪除,就比如xx網(wǎng)盤(pán),要想手機(jī)刪圖必須要關(guān)閉它,回到11月20號(hào)之前的版本測(cè)試無(wú)此問(wèn)題
作者: 湖中沉    時(shí)間: 2023-1-27 09:50
PC端向來(lái)都是有formhash的,完善的是手機(jī)端的安全性,PC端本來(lái)就是那樣做的,是安全了的(因?yàn)橐郧笆謾C(jī)端很簡(jiǎn)陋)
作者: 幸福    時(shí)間: 2023-1-27 09:57
為了安全,沒(méi)必要,制作好手機(jī)端安全就好!
作者: ysx24    時(shí)間: 2023-1-27 10:11
湖中沉 發(fā)表于 2023-1-27 09:50
PC端向來(lái)都是有formhash的,完善的是手機(jī)端的安全性,PC端本來(lái)就是那樣做的,是安全了的(因?yàn)橐郧笆謾C(jī)端很 ...

能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可,不至于插件因?yàn)閒ormhash問(wèn)題在手機(jī)版集體趴窩
已知集中在上傳類(lèi)、網(wǎng)盤(pán)類(lèi)插件,問(wèn)題就是能上傳附件不能刪除附件和圖片,因技術(shù)有限改出了很多問(wèn)題
作者: 湖中沉    時(shí)間: 2023-1-27 10:16
ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可,不至于插件因?yàn)閒ormhash ...

插件適配程序才對(duì),難道程序反向適配不安全的行為?這邏輯上就錯(cuò)了啊。

自己不會(huì)改,找開(kāi)發(fā)者或其他技術(shù)人員處理啊。
作者: ysx24    時(shí)間: 2023-1-27 10:33
湖中沉 發(fā)表于 2023-1-27 10:16
插件適配程序才對(duì),難道程序反向適配不安全的行為?這邏輯上就錯(cuò)了啊。

自己不會(huì)改,找開(kāi)發(fā)者或其他技術(shù) ...

如果找技術(shù)人員就不會(huì)來(lái)這里發(fā)帖了
只一款插件還可以,如果把有問(wèn)題的羅列出來(lái)找人修改成本會(huì)很高
如一個(gè)網(wǎng)盤(pán)插件,全部用的系統(tǒng)函數(shù),壓根就沒(méi)有formhash參數(shù),加了也識(shí)別不出來(lái)
要全部重寫(xiě)代碼架構(gòu)
作者: 湖中沉    時(shí)間: 2023-1-27 10:45
ysx24 發(fā)表于 2023-1-27 10:33
如果找技術(shù)人員就不會(huì)來(lái)這里發(fā)帖了
只一款插件還可以,如果把有問(wèn)題的羅列出來(lái)找人修改成本會(huì)很高
如一個(gè) ...

你自己的猜測(cè)我不評(píng)論……安全問(wèn)題是第一位的,其他都得靠后
作者: ysx24    時(shí)間: 2023-1-27 11:21
湖中沉 發(fā)表于 2023-1-27 10:45
你自己的猜測(cè)我不評(píng)論……安全問(wèn)題是第一位的,其他都得靠后

可以負(fù)責(zé)任的說(shuō),這不是猜測(cè),如假包換

哎…算了,不行回滾11月20號(hào)之前的版本鏡像止步,不過(guò)要丟失大量數(shù)據(jù),但起碼能用
測(cè)試升級(jí)3.5后發(fā)現(xiàn)此類(lèi)問(wèn)題更嚴(yán)重,暴擊加倍那種
一度懷疑加的這個(gè)手機(jī)formhash 是為了安全還是為了創(chuàng)收,小白的驚喜
作者: 老周部落    時(shí)間: 2023-1-27 12:27
ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可,不至于插件因?yàn)閒ormhash ...

沒(méi)辦法,要能這么處理肯定就這么處理了。
主要是處理不了,又是必須修復(fù)的安全問(wèn)題,那就沒(méi)辦法了。
作者: 老周部落    時(shí)間: 2023-1-27 12:28
ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個(gè)參數(shù)即可,不至于插件因?yàn)閒ormhash ...

您可以在插件里面搜索 forum.php?mod=ajax&action=deleteattach ,看看能不能找到對(duì)應(yīng)節(jié)點(diǎn)。
修改方法請(qǐng)參照 https://gitee.com/Discuz/DiscuzX/pulls/1834/files
作者: 老周部落    時(shí)間: 2023-1-27 12:39
另外我個(gè)人想了解一下大概這次對(duì)您影響的范圍有幾個(gè)插件?我看了一下應(yīng)該主要就是附件刪除這一個(gè)節(jié)點(diǎn)
作者: ysx24    時(shí)間: 2023-1-27 13:10
老周部落 發(fā)表于 2023-1-27 12:39
另外我個(gè)人想了解一下大概這次對(duì)您影響的范圍有幾個(gè)插件?我看了一下應(yīng)該主要就是附件刪除這一個(gè)節(jié)點(diǎn) ...

已知四個(gè),網(wǎng)盤(pán)插件、手機(jī)上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了需要關(guān)閉這些插件,不然默認(rèn)模板默認(rèn)刪除都失效,癥狀就是刪除但發(fā)帖后復(fù)現(xiàn)
還不包括已經(jīng)關(guān)閉未測(cè)試的
其中有些是19年古董但及其經(jīng)典插件
猜測(cè)所有上傳類(lèi)、自帶刪除類(lèi)插件都受影響
作者: 專家    時(shí)間: 2023-1-27 13:28
ysx24 發(fā)表于 2023-1-27 11:21
可以負(fù)責(zé)任的說(shuō),這不是猜測(cè),如假包換

哎…算了,不行回滾11月20號(hào)之前的版本鏡像止步,不過(guò)要丟失大量 ...

你這個(gè)懷疑就沒(méi)有必要了
到目前為止主要的安全更新,都不是由應(yīng)用中心,以及存在任何利益相關(guān)的開(kāi)發(fā)者完成的。

不過(guò)話說(shuō)我很好奇,像上傳網(wǎng)盤(pán)oss之類(lèi)的需要掛鉤第三方的插件會(huì)斷更那么久么?你該不會(huì)是全挑的冷門(mén)的開(kāi)發(fā)者買(mǎi)的吧?
正常來(lái)說(shuō)需要對(duì)接第三方的可是要一直跟進(jìn)第三方的API變更的,如果長(zhǎng)時(shí)間不更新基本上很容易就壞掉再也不能用了。
作者: 老周部落    時(shí)間: 2023-1-27 13:44
ysx24 發(fā)表于 2023-1-27 13:10
已知四個(gè),網(wǎng)盤(pán)插件、手機(jī)上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了 ...

X3.5 默認(rèn)觸屏版可以替換手機(jī)上傳視頻和大附件上傳視頻插件,網(wǎng)盤(pán)和 OSS 確實(shí)。
您可以先看下 deleteattach 在您插件里面能否搜索到,不行的話我發(fā)一個(gè)關(guān)閉刪除附件節(jié)點(diǎn)校驗(yàn)的方法。
作者: ysx24    時(shí)間: 2023-1-27 14:11
老周部落 發(fā)表于 2023-1-27 13:44
X3.5 默認(rèn)觸屏版可以替換手機(jī)上傳視頻和大附件上傳視頻插件,網(wǎng)盤(pán)和 OSS 確實(shí)。
您可以先看下 deleteatta ...

這個(gè)剛剛試了搜不到,老周大大快說(shuō)說(shuō)方法
作者: 老周部落    時(shí)間: 2023-1-27 14:20
ysx24 發(fā)表于 2023-1-27 14:11
這個(gè)剛剛試了搜不到,老周大大快說(shuō)說(shuō)方法

upload/source/module/forum/forum_ajax.php
找到:
  1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {
復(fù)制代碼

改成:
  1. if(isset($_GET['aids'])) {
復(fù)制代碼


此修改會(huì)關(guān)閉刪除附件功能的 CSRF 校驗(yàn),由此導(dǎo)致的安全風(fēng)險(xiǎn)自擔(dān)
作者: 老周部落    時(shí)間: 2023-1-27 14:41
ysx24 發(fā)表于 2023-1-27 14:11
這個(gè)剛剛試了搜不到,老周大大快說(shuō)說(shuō)方法

改成了以教程貼形式呈現(xiàn),具體可以看 http://www.9999xn.com/thread-15602-1-1.html
作者: ysx24    時(shí)間: 2023-1-27 14:49
老周部落 發(fā)表于 2023-1-27 14:20
upload/source/module/forum/forum_ajax.php
找到:


非常感謝,問(wèn)題解決
至于CSRF 校驗(yàn)需要時(shí)間對(duì)老插件逐步修復(fù),沒(méi)辦法一些老插件非常經(jīng)典現(xiàn)在同類(lèi)插件根本無(wú)法比肩
如 ck8_video
以后慢慢開(kāi)啟formhash   暫時(shí)不行
再次感謝



歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/) Powered by Discuz! W1.0