香蕉成人伊视频在线观看|学生小视频国产区|yy女主播啪啪啪视频|麻豆传播媒体APP大全免费版官网|瑜伽牲交AV|国产欧美日韩在线天堂区|白浆精品国产91

Discuz! 官方交流社區

標題: 火急求助,關于formhash校驗 [打印本頁]
作者: ysx24    時間: 2023-1-27 08:12
標題: 火急求助,關于formhash校驗
增加的formhash校驗提升安全的同時也帶來不小的麻煩
比如一些插件直接失效,特別是一些上傳類、網盤類插件、手機端能使用但無法刪除圖片和附件
特別一些19年斷更的經典插件更是直接下崗、
作者不是聯系不上就是說了問題但沒了下文

現在formhash校驗給我的作用弊遠遠遠遠大于利
從哪里去掉formhash校驗,十分懇請幫助
還有就是不明白為什么formhash校驗限制手機版刪附件,而古董級的pc模板絲毫不受影響,只限制手機端的作用是什么
作者: ysx24    時間: 2023-1-27 08:36
除了手機模板添加formhash 參數外,如果一些啟用插件沒有formhash參數,就會導致所有版塊在手機端無法刪除,就比如xx網盤,要想手機刪圖必須要關閉它,回到11月20號之前的版本測試無此問題
作者: 湖中沉    時間: 2023-1-27 09:50
PC端向來都是有formhash的,完善的是手機端的安全性,PC端本來就是那樣做的,是安全了的(因為以前手機端很簡陋)
作者: 幸福    時間: 2023-1-27 09:57
為了安全,沒必要,制作好手機端安全就好!
作者: ysx24    時間: 2023-1-27 10:11
湖中沉 發表于 2023-1-27 09:50
PC端向來都是有formhash的,完善的是手機端的安全性,PC端本來就是那樣做的,是安全了的(因為以前手機端很 ...

能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash問題在手機版集體趴窩
已知集中在上傳類、網盤類插件,問題就是能上傳附件不能刪除附件和圖片,因技術有限改出了很多問題
作者: 湖中沉    時間: 2023-1-27 10:16
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

插件適配程序才對,難道程序反向適配不安全的行為?這邏輯上就錯了啊。

自己不會改,找開發者或其他技術人員處理啊。
作者: ysx24    時間: 2023-1-27 10:33
湖中沉 發表于 2023-1-27 10:16
插件適配程序才對,難道程序反向適配不安全的行為?這邏輯上就錯了啊。

自己不會改,找開發者或其他技術 ...

如果找技術人員就不會來這里發帖了
只一款插件還可以,如果把有問題的羅列出來找人修改成本會很高
如一個網盤插件,全部用的系統函數,壓根就沒有formhash參數,加了也識別不出來
要全部重寫代碼架構
作者: 湖中沉    時間: 2023-1-27 10:45
ysx24 發表于 2023-1-27 10:33
如果找技術人員就不會來這里發帖了
只一款插件還可以,如果把有問題的羅列出來找人修改成本會很高
如一個 ...

你自己的猜測我不評論……安全問題是第一位的,其他都得靠后
作者: ysx24    時間: 2023-1-27 11:21
湖中沉 發表于 2023-1-27 10:45
你自己的猜測我不評論……安全問題是第一位的,其他都得靠后

可以負責任的說,這不是猜測,如假包換

哎…算了,不行回滾11月20號之前的版本鏡像止步,不過要丟失大量數據,但起碼能用
測試升級3.5后發現此類問題更嚴重,暴擊加倍那種
一度懷疑加的這個手機formhash 是為了安全還是為了創收,小白的驚喜
作者: 老周部落    時間: 2023-1-27 12:27
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

沒辦法,要能這么處理肯定就這么處理了。
主要是處理不了,又是必須修復的安全問題,那就沒辦法了。
作者: 老周部落    時間: 2023-1-27 12:28
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

您可以在插件里面搜索 forum.php?mod=ajax&action=deleteattach ,看看能不能找到對應節點。
修改方法請參照 https://gitee.com/Discuz/DiscuzX/pulls/1834/files
作者: 老周部落    時間: 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件?我看了一下應該主要就是附件刪除這一個節點
作者: ysx24    時間: 2023-1-27 13:10
老周部落 發表于 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件?我看了一下應該主要就是附件刪除這一個節點 ...

已知四個,網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了需要關閉這些插件,不然默認模板默認刪除都失效,癥狀就是刪除但發帖后復現
還不包括已經關閉未測試的
其中有些是19年古董但及其經典插件
猜測所有上傳類、自帶刪除類插件都受影響
作者: 專家    時間: 2023-1-27 13:28
ysx24 發表于 2023-1-27 11:21
可以負責任的說,這不是猜測,如假包換

哎…算了,不行回滾11月20號之前的版本鏡像止步,不過要丟失大量 ...

你這個懷疑就沒有必要了
到目前為止主要的安全更新,都不是由應用中心,以及存在任何利益相關的開發者完成的。

不過話說我很好奇,像上傳網盤oss之類的需要掛鉤第三方的插件會斷更那么久么?你該不會是全挑的冷門的開發者買的吧?
正常來說需要對接第三方的可是要一直跟進第三方的API變更的,如果長時間不更新基本上很容易就壞掉再也不能用了。
作者: 老周部落    時間: 2023-1-27 13:44
ysx24 發表于 2023-1-27 13:10
已知四個,網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了 ...

X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件,網盤和 OSS 確實。
您可以先看下 deleteattach 在您插件里面能否搜索到,不行的話我發一個關閉刪除附件節點校驗的方法。
作者: ysx24    時間: 2023-1-27 14:11
老周部落 發表于 2023-1-27 13:44
X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件,網盤和 OSS 確實。
您可以先看下 deleteatta ...

這個剛剛試了搜不到,老周大大快說說方法
作者: 老周部落    時間: 2023-1-27 14:20
ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到,老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到:
  1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {
復制代碼

改成:
  1. if(isset($_GET['aids'])) {
復制代碼


此修改會關閉刪除附件功能的 CSRF 校驗,由此導致的安全風險自擔
作者: 老周部落    時間: 2023-1-27 14:41
ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到,老周大大快說說方法

改成了以教程貼形式呈現,具體可以看 http://m.yu-jie.cn/thread-15602-1-1.html
作者: ysx24    時間: 2023-1-27 14:49
老周部落 發表于 2023-1-27 14:20
upload/source/module/forum/forum_ajax.php
找到:


非常感謝,問題解決
至于CSRF 校驗需要時間對老插件逐步修復,沒辦法一些老插件非常經典現在同類插件根本無法比肩
如 ck8_video
以后慢慢開啟formhash   暫時不行
再次感謝



歡迎光臨 Discuz! 官方交流社區 (http://m.yu-jie.cn/) Powered by Discuz! X5.0