[分享]Discuz!X2/2.5防止弱口令破解漏洞（最简单有效的解决方法）

老版本的Discuz问题，有些应用场景让人不得不使用老版本的程序，主要还是因为插件多。DiscuzX2/2.5弱口令破解漏洞是什么？这个弱口令破解漏洞存在与X2与2.5登录机制上，攻击者可以用软件批量...

老版本的Discuz问题，有些应用场景让人不得不使用老版本的程序，主要还是因为插件多。

Discuz!X2/2.5弱口令破解漏洞是什么？

这个弱口令破解漏洞存在与X2与2.5登录机制上，攻击者可以用软件批量拉取用户UID（获取用户列表。）

然后，通过下面这种形式的代码来进行弱密码测试。

member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1&username=用户名&password=明文密码&quickforward=yes&handlekey=ls

当发现使用弱密码的账号，会登录其账号发布一些非法的信息。

弱口令破解漏洞怎么解决？

使用一句代码就可以这个问题，在Discuz x2 或 Discuz X2.5安装目录下找到member.php

找到以下代码

require DISCUZ_ROOT.'./source/module/member/member_'.$mod.'.php';

在这段代码的 上边 ，添加下方的代码：

if($mod=='logging'){
        $_ref = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
        if(stripos($_ref,$_SERVER['HTTP_HOST'])===false || IS_ROBOT) exit;
}

修改之后保存，上传覆盖即可。

注：一些安全扫描工具会报一些奇奇怪怪的东西，让你下载插件（360？），一般引起恐慌都会下载。其实使用上面的方法，完全没有必要使用插件。