CSDN博客在用户认证方面的两个漏洞

最新推荐文章于 2022-02-18 16:17:06 发布
最新推荐文章于 2022-02-18 16:17:06 发布
阅读量538 收藏
点赞数
文章标签: 破解 blog 编程 tcp qq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/networkcrazy/article/details/1792969
版权
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)
networkcrazy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSDN博客导出工具v4.1.zip
08-13
本工具几乎支持国内所有知名博客的导出功能。 支持3种导出方式:个人博客博客专栏、指定URL。 支持5种导出格式:CHM、PDF、HTML、TXT、EPUB。
CSDN的一个安全漏洞分析
03-23
在浏览CSDN博客是,偶然发现CSDN的一个安全漏洞,对于我们来可能没有什么攻击的必要,但是如果不修复,还是有很大的隐患的,下面贴出来看看  在浏览CSDN博客是,偶然发现CSDN的一个安全漏洞,对于我们来可能...
信息泄露漏洞
Websec
04-06 5003
参考安全脉搏文章:https://www.secpulse.com/archives/67123.html提供信息泄露漏洞寻找思路0x01:Web方面信息泄露:评论处转账处搜索处个人页面处客服处0x011:越权方面用户信息泄露任意查看任意重置任意修改0x012:接口方面的信息泄露0x013:注入方面用户信息泄露0x02:服务器路径信息泄露上传图片处XML处第三方服务利用报错0x03:员工信息泄...
安全漏洞的分类、描述与解决方案
热门推荐
花米徐xl_lx的专栏
07-24 1万+
安全测试,安全漏洞
用户名_网络安全与防御-OpenSSH用户名枚举及其检测方法
weixin_31106181的博客
01-11 902
前言当你有一台云主机,而你又开放了SSH端口,那么请一定要注意及时升级OpenSSH版本。不然有可能因为OpenSSH版本漏洞导致主机被入侵,从而造成你的数据泄露危险。今天以一个小脚本,来跟大家分享下一个之前的安全漏洞问题,教你如何检测服务器的OpenSSH版本漏洞,希望大家喜欢。漏洞说明OpenSSH 7.7前存在一个用户名枚举漏洞,服务器在接收到畸形的认证请求包时,会根据用户名的存在与否给出不...
关于CSDN的一个安全漏洞
weixin_33916256的博客
12-22 113
在浏览CSDN博客是,偶然发现CSDN的一个安全漏洞,对于我们来可能没有什么攻击的必要,但是如果不修复,还是有很大的隐患的,下面贴出来看看<:_:> 如上图所示,通常在web浏览页面是,遇到不能访问的页面或者是目录,程序应该给予一个统一的错误提示,而且错误提示信息必须要屏蔽所有可能造成攻击的信息。 以上首先提示了HTTP404错误,表示找不到相应的请求资源; 接下来还提供了...
几个有意思的客户端漏洞 - weixin_30685047的博客 - CSDN博客1
08-03
几个有意思的客户端漏洞 - weixin_30685047的博客 - CSDN博客首页博客学院下载论坛问答商城活动专题招聘图文课Python工程师写博客转 几个
抓取CSDN博客文章的简单爬虫python源码
06-25
抓取CSDN博客文章的简单爬虫python源码
CSDN博客提取器修正版
07-19
程序通过分析CSDN博客源码来生成一些必要的数据,可能在以后使用当中出现爬取不了的情况,可能是CSDN的源码结构修改了。程序只是用于学习之用,严禁用于非法目的而照成CSDN服务器过载。 由于生成PDF的时候需要依赖...
常见验证码漏洞总结
kracer的博客
11-29 8076
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码的机制原理: Step1:...
web渗透测试----11、身份认证漏洞
七天
03-10 4787
文章目录一、什么是身份认证?1、身份认证三要素:2、身份认证和授权的区别:二、身份验证漏洞如何产生?三、身份认证常见的漏洞一、基于密码的登录漏洞1、密码破解2、用户名猜解3、用户名枚举4、目前防止暴力攻击的最常见方法是:二、双因子身份验证中的漏洞1、绕过双因子验证2、双因子验证逻辑错误3、暴力破解2FA验证码三、其他身份验证机制中的漏洞1、保持用户登录状态2、重置用户密码四、身份认证相关漏洞的防御 一、什么是身份认证? 身份认证是验证给定用户或客户端身份的过程。简单理解就是如何让别人相信你就是你。 1、
登录验证码漏洞
夜行者的博客
02-18 1939
检测方法: 1)验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞; 2)在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞; 3)验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞; 4)生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞; 5)生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞; 6)请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析
财务数据分析模型6.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
人力资源数据分析看版.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
重庆大学2011-2012(2)数字电子技术II.pdf
最新发布
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
随波逐流CTF编码工具 V5.6 20240424.rar
04-26
由随波逐编写开发,CTF编码工具为用户提供丰富的离线加密解密功能,还可以对字符编码进行转换,文件隐写查看,用户可以根据自己的需求来使用功能,非常实用,能够提高大家的工作效率!
csdn博客中命令后边的复制两个字怎么弄得
05-25
CSDN 博客中,命令后面的复制两个字通常是通过添加以下 HTML 代码来实现的: ``` 命令</code><span style="color:#ccc">复制 ``` 其中,`<code>` 标签用于显示命令,`<span>` 标签用于显示复制字样,并设置了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值