关于LB论坛的一个BUG的探讨

原创 2004年06月25日 14:11:00

关于LB论坛的一个BUG的探讨

( 作者:mikespook | 发布日期:2003-12-8 | 浏览次数:406 )

关键字:漏洞,论坛,LB
  现在网上用雷傲论坛的人很多。大家普遍觉得雷傲论坛用起来比较方便,而且插件也很多。不过,老一点的玩家都知道,这个论坛的漏洞也特别多。
  我对CGI没有兴趣,对论坛权限更没有兴趣。我这里要说的是作为一个程序编写者应该注意的地方。
  
关于BUG

  我不知道这个BUG是否有人注意过。今天我在写程序的时候在S8S8论坛(使用雷傲论坛程序)看脚本突然想起来的。在回帖的时候如果你是登陆用户,那“在快速回复主题: ”的地方有“输入用户名和密码:”。这里明白显示着你的用户名和密码。当然了,密码是“****”。这是BUG么?现在,你打开页面的源文件。并搜索“name="password"”。你会找到一处如“<input type=password name="password" value="123456" onmouseover=this.focus() onfocus=this.select()>”。这是什么?这就是那个密码框,而密码就明白的显示在value里“value="123456"”。好了,我们再来看看我们如何得到别人的密码与用户名。在IE缓冲文件夹中搜索“S8S8”会出来很多名如“topic[1]”、“topic[2]”这样的文件。用记事本打开,搜索“name="membername"”找到value中的用户名,再搜索“name="password"”找到value中的密码。(其实这里不用搜两次,只不过为了说明方便。)好了,你就可以冒名顶替,肆意捣乱了。这个方法,不论你时候退出登陆。只要你登陆,那么你访问过的页面就会缓存于IE缓冲文件夹中。除非你清理缓冲文件夹,否则用户名与密码暴露无疑!有几个朋友在网吧上完了网记得清空缓冲文件夹呢?

探讨

  我不理解雷傲论坛在那里设置用户名和密码是何用意。我没有阅读过完整的雷傲的代码。不过我的感觉是多此一举。我阅读过很多国外PHP论坛和ASP论坛代码。并没有见有论坛将用户名和密码如此大方的放在页面上让别人瞻仰。
  再比如登陆时候的验证码。验证码只是放着好看,让大家感觉安全些的东西。真要想破,用户的密码哪用那么麻烦?我这方法,你甚至连网都不用上。只要看看缓冲文件夹就搞掂了。

总结

  其实,这个BUG并不是只有雷傲论坛才有。很多程序都有这个东西。(特别是国产程序,说不清楚谁抄谁了。)个人以为,作为程序员还是应该弄些实际的东西。对于华而不实的玩意,玩玩就好,切不可当做宝贝。否则画蛇添足,反而出了漏子。

周扬:关于马克思主义的几个理论问题的探讨

2010-01-03 17:31 周扬:关于马克思主义的几个理论问题的探讨 关于马克思主义的几个理论问题的探讨 周扬 一、马克思主义是发展的学说   ... 二、要重视...
  • wwwgui1978
  • wwwgui1978
  • 2012年02月03日 00:39
  • 1963

OO真经——关于面向对象的哲学体系及科学体系的探讨(下)

接上一篇:OO真经——关于面向对象的哲学体系及科学体系的探讨(上) 真经第六章——运作 Moving       “运动是绝对的——牛顿” 6.1、导言       在前五章中,我们从世界观的这话...
  • Percy__Lee
  • Percy__Lee
  • 2015年08月26日 16:33
  • 603

修改bug的一个小故事

今天在网站上看见一个故事,很有趣,但也值得思考:那还是80年代初期,我爸爸在一家存储设备公司工作,这个公司现在已经不存在了,它生产磁带机和驱动这些磁带高速运转的气动系统 —— 这是那个时代的产物。他们...
  • qq_25673113
  • qq_25673113
  • 2016年09月09日 15:23
  • 207

[笔记]OO真经——关于面向对象的哲学体系及科学体系的探讨

原文链接:http://kb.cnblogs.com/page/45954/3/ 二、中 》》程序世界与现实世界第一点区别:现实世界的依赖以对象为单位,程序世界的依赖以类为单位。 》》程序世界里...
  • Alvin604497732
  • Alvin604497732
  • 2015年10月24日 17:59
  • 383

面向对象与哲学

面向对象与哲学1 面向对象与语言无关初学者往往喜欢选择一门声称强力支持面向对象的语言。在这些面向对象的语言的布道者和拥趸者看来,是否面向对象成为唯一的标准。面向对象超过了面向对象本身之后,就变成了一种...
  • cheungmine
  • cheungmine
  • 2011年11月18日 13:21
  • 2285

怎样很好的描述一个BUG

 优秀的测试人员能通过优秀的bug报告让开发人员心悦诚服的修改bug,可以想象一名被bug困扰的焦头烂额的开发人员,在看到一条含糊不清,语句不通,还夹杂着几个错别字的bug描述记录时的心情会怎样?  ...
  • xingqisan
  • xingqisan
  • 2011年06月29日 16:42
  • 1718

将La和Lb合并为一个新的线性表Lc的几种结构的归纳

在数据结构线性表一章中,提出了三种方法。1、总的方法,并没有涉及具体的存储类型。此处给出了具体的思想。void MergeList(List La, List Lb, List &Lc) { //已知...
  • xiaoshi935
  • xiaoshi935
  • 2009年08月23日 16:08
  • 5551

HNCU1324:算法2-2:有序线性表的有序合并(线性表)

http://hncu.acmclub.com/index.php?app=problem_title&id=111&problem_id=1324 题目描述 已知线性表 LA 和 LB 中的数据元...
  • libin56842
  • libin56842
  • 2013年07月17日 09:26
  • 5102

使用Mybatis出现的一个异常bug

使用Mybatis这个ORM框架进行查询操作的时候,没有任何编译错误,也没有异常抛出,但运行查询的时候,会发现以下错误。java.lang.NoClassDefFoundError: Could no...
  • onedaycbfly
  • onedaycbfly
  • 2017年06月21日 00:35
  • 233

关于mvnForum论坛的二次开发环境搭建

Mvnforum二次开发环境的搭建版本mvnforum-1.3_dev-mvnad-1.1_dev-src-20100820源码中有myvietnam,mvnforum,mvnad,我只需要myvie...
  • hanyue198528
  • hanyue198528
  • 2010年12月04日 12:46
  • 3709
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于LB论坛的一个BUG的探讨
举报原因:
原因补充:

(最多只允许输入30个字)