急! 魔方财务邮件、短信防刷!
事件开始
今天各云服务厂商都出现了邮件被刷 邮件轰炸
魔方写的代码在人机验证成功后不会销毁
所以只要过一次人机验证就可以重复用
小编也收到了许多邮件
如图所示 很多的魔方财务都被刷邮件了
它会导致你的魔方财务短信刷欠费,邮件拒发
开始安装补丁
qq3840032310提供了一个补丁 限制发注册验证码的频率
your-zjmf-installation/
├── app/
├── public/
│ └── index.php ← 修改此文件
├── bd.php ← 新增此文件
├── data/
└── ...
把你下载下来的东西 放到这个文件夹里面
我之前发过 ZJMF修复通过接口获取对接上游信息的轻量级安全补丁
和之前一样 打开你public下的index.php
添加以下代码:require CMF_ROOT . 'bd.php';
这样就安装好了
对于这个问题,我根据群友们的漏洞解析使用AI开发了智简魔方邮箱与短信验证码漏洞检测工具
本工具可用于检测你的魔方财务是否存在邮箱验证码盗刷问题,他人利用此漏洞可进行邮件轰炸,产生的后果包括但不限于:
1.邮箱信誉崩塌:各类IDC的邮件服务器(SMTP) 发信权重大降,大量邮件被判定为垃圾邮件或者拒发。
2.发信配额耗尽:许多IDC服务商的后台发信API配额被瞬间耗尽,导致正常的注册和找回密码流程瘫痪。
3.服务器负载飙升:大量发信请求导致Web服务负载异常,严重者甚至导致业务崩溃。
4.如果邮件漏洞存在,说明短信验证码也有同样的漏洞,他人也会给你短信刷欠费
https://zjmf.mcddos.top/code.php
单个IDC每分钟单IP仅可测一次
单个邮箱每15秒所有IP仅可发一次
全程日志记录