迪巴拉 发表于 2023-1-29 21:40:18

火急求助,关于formhash校验

增加的formhash校验提升安全的同时也带来不小的麻烦
比如一些插件直接失效,特别是一些上传类、网盘类插件、手机端能使用但无法删除图片和附件
特别一些19年断更的经典插件更是直接下岗、
作者不是联系不上就是说了问题但没了下文

现在formhash校验给我的作用弊远远远远大于利
从哪里去掉formhash校验,十分恳请帮助
还有就是不明白为什么formhash校验限制手机版删附件,而古董级的pc模板丝毫不受影响,只限制手机端的作用是什么5 金币+3 金币最佳答案

      ysx24 发表于 2023-1-27 14:11
这个刚刚试了搜不到,老周大大快说说方法
upload/source/module/forum/forum_ajax.php
找到:
if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {
改成:
if(isset($_GET['aids'])) {

此修改会关闭删除附件功能的 CSRF 校验,由此导致的安全风险自担

老周部落发表于
[*]详细答案 >

Crystαl 发表于 2023-1-29 21:40:49

除了手机模板添加formhash 参数外,如果一些启用插件没有formhash参数,就会导致所有版块在手机端无法删除,就比如xx网盘,要想手机删图必须要关闭它,回到11月20号之前的版本测试无此问题

Crystαl 发表于 2023-1-29 21:41:42

PC端向来都是有formhash的,完善的是手机端的安全性,PC端本来就是那样做的,是安全了的(因为以前手机端很简陋)

TyCoding 发表于 2023-1-29 21:42:01

为了安全,没必要,制作好手机端安全就好!

IT618发布 发表于 2023-1-29 21:42:25

湖中沉 发表于 2023-1-27 09:50
PC端向来都是有formhash的,完善的是手机端的安全性,PC端本来就是那样做的,是安全了的(因为以前手机端很 ...
能不增在系统增加适配所有插件的参数
然后在支持手机端的插件加入这个参数即可,不至于插件因为formhash问题在手机版集体趴窝
已知集中在上传类、网盘类插件,问题就是能上传附件不能删除附件和图片,因技术有限改出了很多问题

婷姐 发表于 2023-1-29 21:42:40

插件适配程序才对,难道程序反向适配不安全的行为?这逻辑上就错了啊。

自己不会改,找开发者或其他技术人员处理啊。

浅生 发表于 2023-1-29 21:43:35

湖中沉 发表于 2023-1-27 10:16
插件适配程序才对,难道程序反向适配不安全的行为?这逻辑上就错了啊。

自己不会改,找开发者或其他技术 ...
如果找技术人员就不会来这里发帖了
只一款插件还可以,如果把有问题的罗列出来找人修改成本会很高
如一个网盘插件,全部用的系统函数,压根就没有formhash参数,加了也识别不出来
要全部重写代码架构

婷姐 发表于 2023-1-29 21:44:02

你自己的猜测我不评论……安全问题是第一位的,其他都得靠后

拾光 发表于 2023-1-29 21:44:18

湖中沉 发表于 2023-1-27 10:45
你自己的猜测我不评论……安全问题是第一位的,其他都得靠后
可以负责任的说,这不是猜测,如假包换

哎…算了,不行回滚11月20号之前的版本镜像止步,不过要丢失大量数据,但起码能用
测试升级3.5后发现此类问题更严重,暴击加倍那种
一度怀疑加的这个手机formhash 是为了安全还是为了创收,小白的惊喜

独家记忆 发表于 2023-1-29 21:44:57

没办法,要能这么处理肯定就这么处理了。
主要是处理不了,又是必须修复的安全问题,那就没办法了。
页: [1]
查看完整版本: 火急求助,关于formhash校验

创宇盾启航版免费网站防御网站加速服务