为什么三大主流论坛 都可以伪造数据进行群发帖子呢？

最近有人反应有一款软件可以 群发三大主流论坛的帖子。可能对于推广的人来说，无疑是一件好事！

但是对于管理论坛的人来说确实是噩梦！

先可以看一下面的图是介绍它的功能是多么的强大的

个人感觉 不论是论坛还是开源的系统来说，都有一个通病！研究的你的代码 及里面的一些算法，更能找到入侵之处

造成一些不可能估计的后果！

开源系统，重要的一点是我们如何使用，切忌记住的 一定在开源系统重要的地方加上一些自己的验证机制，防止被人攻击！

把系统开源的团队，不可能什么都做很完美。这就是为什么三大主流论坛 都可以通过伪造数据就群发帖子！

研究了哈开源（DISCUZ）论坛群发，是伪造HTTP_REFERER，COOKIE造的孽！（其他论坛类似）

因为康盛系统本身有一层验证机制（你看帖子提交表单就有formhash隐藏域），

通过伪造HTTP_REFERER,COOKIE很容易获取到

唉！没有发这个问题确实很难从根本上解决，俗话说的道高一丈，魔高一尺！

我们只能通过添加新验证机制，就是加上一层外壳！即使你伪造了，还要通过这一层验证机制！
 

我目前的思路是再加一层cookie验证机制：

1、确定一个唯一密钥ID

2、写一个自己独特加密，解密算法

3、加密新加入的cookie

4、在提交发帖或回复时，解密cookie. 验证密钥ID，是否一致

这种方法即使黑客看到你cookie也花时间去破解！

对于以前完全把代码(算法)暴露给对方，是不是更安全呢！

本文出自 “凹凸曼” 博客，请务必保留此出处http://www.apoyl.com/?p=1043