CSDN博客在用户认证方面的两个漏洞

原创 2007年09月20日 14:05:00
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,
它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)


国家发布人工智能 战略决策

[导读]工业和信息化部14日发布《促进新一代人工智能产业发展三年行动计划(2018-2020)》(下称《计划》)。《计划》要求,力争到2020年,一系列人工智能标志性产品取得重要突破,在若干重点领域形...
  • eipguo
  • eipguo
  • 2018年01月20日 11:05
  • 65

深度学习在医疗中的应用前景分析

本文简述了深度学习的发展现状,总结了深度学习在医疗领域成功应用的领域,并预测以限制性波尔兹曼机(RBM)为基础的深度信念网络(DBN)在医学诊断中的应用,由于可以促近近期医改中的分级诊疗的发展,将拥有...
  • Yt7589
  • Yt7589
  • 2016年07月25日 11:55
  • 12479

国内没有关于软件漏洞方面的论坛

什么80sec 什么t00ls 什么乌云 很牛很牛,但是怎么全是web呢,为啥 能不能不xss吗 虽然xss有时很有危害 哎,纠结,自己也想学习下web方面的漏洞,但是发现二进制方...
  • instruder
  • instruder
  • 2011年08月20日 00:31
  • 723

企业信息安全的发展影响公司的核心竞争力

随着计算机和网络技术的普及发展,公司和企业的办公方式和业务流发生了翻天覆地的变化。...
  • shenxinda_lu
  • shenxinda_lu
  • 2015年08月25日 13:27
  • 427

Oracle数据库的安全性措施概述

Oracle的安全措施主要有三个方面,一是用户标识和鉴定;二是授权和检查机制;三是审计技术(是否使用审计技术可由用户灵活选择);除此之外,Oracle还允许用户通过触发器灵活定义自己的安全性措施。一、...
  • wzy0623
  • wzy0623
  • 2016年12月29日 13:14
  • 473

一些数据库优化方面的经验

用PreparedStatement 一般来说比Statement性能高:一个sql 发给服务器去执行,涉及步骤:语法检查、语义分析, 编译,缓存 “inert into user values(1...
  • lixiaoming000
  • lixiaoming000
  • 2013年10月29日 15:29
  • 1176

openSNS(V2版本) 用户身份切换可能产生的bug以及正规流程

openSNS V2版本注册用户的身份切换有一个严格的流程,不是通过这个流程切换用户身份会造成登入和提示身份未审核或禁用提示,影响体验。在此我会给出身份切换的流程:...
  • F_shan
  • F_shan
  • 2016年07月29日 17:55
  • 555

推荐|Attention的另类用法(by Colin Raffel)

——免费加入AI技术专家社群>> ——免费加入AI高管投资者群>> ——日薪5k-10k招兼职AI讲师>> --全国招募1000名AI推广大使>> 《Doing Strange T...
  • CygqjBABx875u
  • CygqjBABx875u
  • 2017年11月28日 00:00
  • 73

.NET组件开发

本文对“组件”这个术语进行定义并提供特别是与组件编程相关的 .NET 框架编程概念的概述。虽然“组件”这个术语有多种含义,但在 .NET 框架中,组件是指实现 System.ComponentMode...
  • mydriverc
  • mydriverc
  • 2007年05月14日 17:31
  • 1309

从 Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点

从 Exploit Exercises Nebula 中总结linux的基础漏洞和一些小知识点第一次使用markdown进行写文章,其实如果markdown编辑器支持qq截图直接粘贴就好了我觉学习了就...
  • u012763794
  • u012763794
  • 2017年03月25日 11:55
  • 810
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:CSDN博客在用户认证方面的两个漏洞
举报原因:
原因补充:

(最多只允许输入30个字)