目前问题未知,疑似无差别登录用户账号,目前本站遇到多位用户账号被人登录发帖,恰好管理在浏览论坛及时发现已将帖子删除并修改了这部分用户账号密码。
此问题之前朋友做的xiuno网站用户量几千后也曾出现大批量账号同一时间发布菠菜帖子,找人排查也没有找到原因,致使他最后卖站放弃xiuno。
目前我们做的只有更新所有用户token,强制下线重新登录,开启HttpOnly等安全措施。
好在被登录用户发布的并非灰产信息,而是

已经向号主求证他们使用的并非弱密码,而是大小写字母+数字的组合。
如果发现此漏洞的朋友并无恶意,期望您联系我们反馈漏洞。
xiuno停更5年,加上各种插件老旧,难免有我们未知的bug存在。
本站服务器由 DangYun 友情提供
给楼主投上 1 枚硬币
当前您的硬币余额:0