|
|
แม้ว่าเราจะมีการป้องกันการล็อคอินด้วย Captcha ต่าง ๆ ไม่ว่าจะเป็นในระบบ Discuz! เอง หรือ reCaptcha ก็ดี
ระบบต่าง ๆ เหล่านี้จะไปช่วยป้องกันได้เพียงการล็อคอินผ่านหน้าเว็บหลักเท่านั้น ไม่รวมไปถึงหน้า AdminCP
ทำให้เกิดช่องโหว่ในการ Bypass Captcha ด้วยการล็อคอินที่หน้า AdminCP (เปิด yourdomain.com/admin.php) โดยตรง
ปล. ทั้งนี้ปกติในระบบก็มีการป้องกันอยู่แล้วด้วยการจำกัดครั้งที่สามารถล็อคอินผิดได้ต่อ IP ต่อวัน
วิธีการบังคับให้ล็อคอินหน้าเว็บก่อนเข้า AdminCP
1. เปิดไฟล์ admin.php
2. ค้นหาคำว่า
3. ขึ้นบรรทัดใหม่ต่อจากที่ค้นหาเจอ แล้วใส่โค้ดด้านล่างลงไป
- if(!$_G['uid'] || $_G['groupid'] != 1) {
- dheader("Location: ./index.php");
- }
4. บันทึกและทดสอบด้วยการเปิด Private Browsing / Incognito ไปหน้า yourdomain.com/admin.php
5. จะเห็นว่าหากยังไม่ได้ล็อคอินที่หน้าเว็บหลัก จะถูกเด้งกลับมายังหน้าแรก แทนที่จะแสดงหน้าล็อคอินของ AdminCP เลย
|
ขออภัย! โพสต์นี้มีไฟล์แนบหรือรูปภาพที่ไม่ได้รับอนุญาตให้คุณเข้าถึง
คุณจำเป็นต้อง เข้าสู่ระบบ เพื่อดาวน์โหลดหรือดูไฟล์แนบนี้ คุณยังไม่มีบัญชีใช่ไหม? สมัครสมาชิก
×
คะแนน
-
ดูบันทึกคะแนน
|
โพสต์ 2021-4-15 14:16:11
โพสต์ 2021-5-21 16:27:28
