只测试了DEDECMS V5.7系统,之前的版本估计也一样。

在官方地址进行的简单测试,应该算是一个小BUG,利用这个可以无限的刷某篇文章的顶/踩 数值。

详细说明：虽然前端页面做了 游客 只能提交一次的限制，但是直接以URL访问则没有限制，只要按着F5不放，一会就能上百上千。。。。

而且dede的官方也木有做这方面的限制。。。你懂的

漏洞证明：http://www.dedecms.com/plus/feedback.php?aid=1102&action=bad&fid=1102

http://www.dedecms.com/news/2011/1201/1102.html

 

修复方案：对feedback.php 文件加入判断 单个IP提交次数与提交时间间隔限制。

不管换不换IP，一条IP记录保存24小时，到时间清除。