添加时间:
2005-08-28

系统编号:
WAVDB-00642

影响版本:
Discuz! 2003/9/21所有免费版本

程序介绍:

Crossday Discuz! Board 论坛系统（简称 Discuz! 论坛）是一个采用 PHP 和 MySQL 等其他多种数据库构建的高效论坛解决方案。作为商业软件产品， Discuz! 在代码质量，运行效率，负载能力，安全等级，功能可操控性和权限严密性等方面都在广大用户中有良好的口碑。凭借 Discuz! 开发组长期积累的丰富的 web 开发及数据库经验，和强于创新，追求完美的设计理念，使得 Discuz! 在很短时间内以其鲜明的个性特色从国内外同类产品中脱颖而出。经过了效率最优化和负载能力最佳化设计的 Discuz! ，已获得业内越来越多专家和权威企业的认可。

漏洞分析:

由于pm.php发送消息那部分代码，缺乏对时间间隔的限制。导致任何用户可以对任何用户发送消息炸弹。导致服务器空间、资源被消耗。严重可导致拒绝服务。
大家可以看到pm.php文件的86行的代码： 
86 } elseif($action == 'send') { 
87 
88 if(!$pmsubmit) { 
…… 
179 showmessage('pm_send_succeed', 'pm.php'); 
180 } 
这部分代码没有检测用户发送短信的时间间隔限制代码。

漏洞利用:

我们只要注册任意一个用户登陆后，提交： 
http://127.0.0.1/discuz/pm.php?action=send&pmsubmit=submit&msgto=angel&subject=test&message=test 

解决方案:
可以利用PHP的SESSION或者COOKIE来限制用户每次发信的间隔。处理用户发送短信时，可以选择以下两种方式区别用户是否在规定的时间内连续发送短信，假设管理员设置两次发帖时间的间隔为2分钟，看看下面两个例子：
Cookie方式：
if ($beforepmid) die("对不起,你两次发信的时间间隔还不到2分钟"); // $beforepmid 前一次发信的ID
else setcookie("beforepmid",$pmid,time()+60*2,"/","",0); // $pmid 短信ID

Session方式：
session_start();
if (session_is_registered("time") && time()-$_SESSION['time']<60*2) {
die("对不起,你两次发帖的时间间隔还不到2分钟"); // $time 前一次发信的时间
} else {
$time=time();
session_register("time");
}
看起来Cookie需要发送到客户端，攻击者可以删除该Cookie，好象Session比较安全些，在服务器端。不过实际上我认为应该是差不多的。因为他是连续发送，中间的间隔时间很短，来不急去删除该Cookie的。但也不排除自己编段小程序来删除Cookie。为了万全，还是使用Session吧。Session方式的文件为“session_pm.php”，去掉前面的“session_”然后覆盖到Discuz目录下，记得备份原Discuz目录下的pm.php，以免出错后可以挽回。
如果希望用Cookie的方式来防止攻击的哈，就用这个“cookie_pm.php”吧。把前面的“cookie_”去掉，然后覆盖到Discuz目录下，最好先备份Discuz目录下的pm.php文件。

信息来源:
<*http://www.4ngel.net/article/15.htm*>