部分DZ论坛启用点触验证码后验证码完全没有起作用。同时由于更改了登录逻辑,还会造成论坛登录密码明文传输。

详细说明:由于点触验证码插件的验证逻辑有问题,启用验证码之后可以简单绕过。同时由于更改了登录逻辑,会将DZ原本的md5传输的密文变成明文传输。 



将红框中的display: none;

Discuz点触验证码插件验证绕过+密码明文传输

去掉,然后可以看到多了一个登录按钮。

Discuz点触验证码插件验证绕过+密码明文传输

这个按钮是没有启用验证逻辑的。直接输入用户名密码就可以登录。同时这样登录的话POST提交的是正常的md5加密后的密码。

但是如果输入验证码提交的话,POST数据就变成了:



Discuz点触验证码插件验证绕过+密码明文传输

其中可以看到明文的密码字段。 
 

修复方案:

不说啥了太坑了。。