安全漏洞:从ShopEx商店注册论坛同用户名就可以自动登入论坛

上一篇 / 下一篇 2007-06-11 20:47:57 / 精华(3) / 置顶(3) / 个人分类：DZ5.5

查看( 96 ) / 评论( 8 )

例如:
论坛会员 admin 未在ShopEx商店注册
那么，任何人都可以到ShopEx商店去注册该用户名称
然后进入论坛就会自动登入成为 admin
非常严重的漏洞，请快修复。

phperr 发布于2007-06-12 01:17:59: 一旦整和，DZ中将不能引用安全问题，要命的是修改密码也不行（没有了修改选项），只有去商城中修改，但是，在商城中修改后，必须再访问一遍论坛，否则修改的密码在DZ中无法登陆。并且如果没重新访问DZ，并且重起，那么先登陆DZ的话，密码修该将失效，商城又会回到原来的密码。还有一个缺点：会员在DZ 中资料设置如果比shopEx详细（对于那些以DZ为主的站点由为明显），例如，在DZ中选择了性别，但是在shopEx中则没有设置，一旦在 shopEx修该密码，DZ中的资料会和shopEx统一，即在DZ中成了还没有选择性别！
以上经好几个使用DZ和shopEx测试，有该问题！

phperr 发布于2007-06-12 19:45:01: QUOTE:
原帖由 monkeye 于 2007-6-12 12:43 发表
最初 shopex的admin帐号就应该和论坛的admin帐号一样同时存在
如果论坛会员名子叫 idiot 未在shopex商店注册
那么，任何人都可以到shopex商店去注册该用户名称 idiot
然后进入论坛就会自动登入成为 idiot

另外，我論壇已經有十幾萬會員當中有一半以上都是中文名稱
shopex商場又不准註冊中文名稱，那怎麼辦，這些中文帳號形同廢物了:funk::funk::funk:

phperr 发布于2007-06-13 16:08:21: QUOTE:
原帖由 newmsoft 于 2007-6-13 09:53 发表
先把论坛的用户数据导入商城啊
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/.mallory/abcd/abcd.com/bbs/discuz_export.php on line 69

Warning: Cannot modify header information - headers already sent by (output started at /home/.mallory/abcd/abcd.com/bbs/discuz_export.php:69) in /home/.mallory/abcd/abcd.com/bbs/discuz_export.php on line 81

Warning: Cannot modify header information - headers already sent by (output started at /home/.mallory/abcd/abcd.com/bbs/discuz_export.php:69) in /home/.mallory/abcd/abcd.com/bbs/discuz_export.php on line 82
utf-8
Warning: Invalid argument supplied for foreach() in /home/.mallory/abcd/abcd.com/bbs/discuz_export.php on line 84