CSDN博客在用户认证方面的两个漏洞

原创 2007年09月20日 14:05:00
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,
它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)


版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

创建博客-用户认证(上)

用户认证 Flask-Login

如何更换个人CSDN博客 用户头像

前言首先吐槽一下:小编最近想更换个人CSDN博客的头像, 发现PC端网页上怎么搞都不成功。问了同事,竟然也遇到同样的问题, 根据小编的性格,这是不能容忍的,一个CSDN 技术网站,居然头像都不给换,不...

CSDN用户博客准则1

CSDN用户准则

CSDN博客返回503错误后所有用户积分被清零

今天上午(2016年12月01日)访问 CSDN 博客一直失败,服务器返回 503 Service Unavailable 错误。     下午 13:30 再次访问时,发现已经可以正常查看博客内容,...

两个博客的对比与分析(CSDN博客与博客园)

前一篇中写到了一些自己对于ITEYE的使用感受,现在再来看看CSDN博客与博客园——两个著名的IT博客之间的比较(仅仅是个人体会,并无好恶之辨)。 首先从基本功能来说都差不多,先从主页上来看,都是三...
  • aerchi
  • aerchi
  • 2012-03-08 09:29
  • 2925

CSDN博客与ITEYE博客网站深入比较分析(三)——用户体验对比分析

CSDN博客与ITEYE博客网站深入分析(三)——用户体验分析用户体验分析的要素:表现层(视觉设计);框架层(界面的设计、导航设计和信息设计);结构层(交互设计与信息构架);范围层(网站目标和用户需求...

第一次写博客,就写点关于我的专业方面的知识吧!

Java Web基础: Tomcat:http://tomcat.apache.org/download-80.cgi Jdk7.0:http://www.oracle.com/technetwo...

CSDN博客导出工具 修正

  • 2015-04-20 08:16
  • 1.45MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)