关闭

CSDN博客在用户认证方面的两个漏洞

标签: 破解blog编程tcpqq
379人阅读 评论(0) 收藏 举报
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,
它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:46480次
    • 积分:756
    • 等级:
    • 排名:千里之外
    • 原创:30篇
    • 转载:1篇
    • 译文:0篇
    • 评论:5条
    文章分类
    文章存档