转帖：一个关于旅行论坛的漏洞及其解决

作者：luncif

假设在51.net上有两个wdb论坛aa.51.net/wdb/wdb.php，bb.51.net/wdb/wdb.php， 
aa论坛上有一个用户abc，只要在bb论坛也注册一个用户abc，在bb登陆后，得到sessionid 
然后直接在浏览器输入aa.51.net/wdb/wdb.php?s=xxxx(sessionid)就可以冒充成论坛aa 
的abc了。 
    解决方法，旅行你也应该知道： 
    1.global.php 54 行 
    把if ($HTTP_SESSION_VARS['wandererboardid']) { 改为 
if (!empty($HTTP_SESSION_VARS['wandererboardid']) && !empty 
($HTTP_SESSION_VARS['wandererboardpwd']) && checkpass($HTTP_SESSION_VARS 
['wandererboardid'],$HTTP_SESSION_VARS['wandererboardpwd'])){     
    2.wdblogin.php 49行 
    session_register("wandererboardid");前面加入下面两句 
      $wandererboardpwd=$loginpwd; 
      session_register("wandererboardpwd"); 

重帖！

[quote][i][b]下面是引用水镜梵天于2001-8-19 0:10发表的回复:：[/b][/i]
呵呵，这个问题我很早就知道了，而且也改过了。
只是好几次改版的时候都忘了重新改这个BUG——当然目前并不存在这个问题了：）
现在浙大个人主页之家几乎所有的论坛都在用旅行2版，
其中海狸论坛与诗情话伊，我都提醒过他们的，其它的我也不太清楚……
.......[/quote]
我来回答一下吧，确实是服务器的问题，我现在把WDB改正cookie记录方式登陆了，一切问题迎刃
而解，而且可以设置登陆周期，挺方便的
用cookie的论坛也挺多的，LB和米时论坛的VBB还有UB等

改了也没用啊

只要刷新一下，又会显示在线用户啊！！

[quote][i][b]下面是引用水镜梵天于2001-8-20 21:24发表的回复:：[/b][/i]
目前你是指现在仍存在这个问题吗？……我前几天重改了一次的。

……可以告诉我具体的情况吗？[/quote]
恩！
偶先在水镜用安蓝登陆，然后再打开缘分论坛，不用登陆，那里的用户名已经是安蓝了。
前几天无论在哪儿登陆，另一个都会随之改变，这几天好象在水镜的不会变了。

嘿嘿，那俺去别的论坛申请一个水镜梵天先

目前你是指现在仍存在这个问题吗？……我前几天重改了一次的。

……可以告诉我具体的情况吗？

不存在了吗？
可是为什么我还是遇到了？

呵呵，这个问题我很早就知道了，而且也改过了。
只是好几次改版的时候都忘了重新改这个BUG——当然目前并不存在这个问题了：）
现在浙大个人主页之家几乎所有的论坛都在用旅行2版，
其中海狸论坛与诗情话伊，我都提醒过他们的，其它的我也不太清楚……

谢谢水姐把这篇文章置顶，今天实在是麻烦您了。