CSDN博客在用户认证方面的两个漏洞

原创 2007年09月20日 14:05:00
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,
它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)


csdn可能待改进点之1------>两个博客排名相同, 在30分钟后排名又变化了

我们知道, csdn博客每天更新一次排名, 所以, 如果A博客比B博客排名靠前, 但显示的是B的积分较高, 这个是可以理解的。  但是, 如下现象我不是很能理解:        现象: 早上看了一下两...
  • stpeace
  • stpeace
  • 2016年05月22日 23:40
  • 550

创建博客-用户认证(上)

用户认证 Flask-Login

创建博客-用户认证(下)

注册新用户 确认账户

CSDN博客返回503错误后所有用户积分被清零

今天上午(2016年12月01日)访问 CSDN 博客一直失败,服务器返回 503 Service Unavailable 错误。     下午 13:30 再次访问时,发现已经可以正常查看博客内容,...

浅谈CSDN博客的用户体验

小弟刚开了CSDN博客,以前没玩过博客,也没玩过微信。今天有幸开了博客,很是兴冲冲地进来想写篇开门红博客,但是找了许久没找到博客入口,可能是我智商不高哈,CSDN你就不能醒目地把【博客】二字写在这里吗...

start:从csdn博客看用户体验

工作很久了,一直想写点东西。可惜

如何更换个人CSDN博客 用户头像

前言首先吐槽一下:小编最近想更换个人CSDN博客的头像, 发现PC端网页上怎么搞都不成功。问了同事,竟然也遇到同样的问题, 根据小编的性格,这是不能容忍的,一个CSDN 技术网站,居然头像都不给换,不...

解决因用户权限导致的【Windows Installer】无法访问且无法启动的问题 - 博客频道 - CSDN.NET

解决用户权限导致的【Windows Installer】无法访问 今天安装程序时遇到一些小问题,就是出现了下面这个提示。 “无法访问Windows Installer服务。Windows Inst...
  • ACMwsj
  • ACMwsj
  • 2014年04月16日 09:25
  • 432

CSDN用户博客准则1

CSDN用户准则

两个博客的对比与分析(CSDN博客与博客园)

前一篇中写到了一些自己对于ITEYE的使用感受,现在再来看看CSDN博客与博客园——两个著名的IT博客之间的比较(仅仅是个人体会,并无好恶之辨)。 首先从基本功能来说都差不多,先从主页上来看,都是三...
  • aerchi
  • aerchi
  • 2012年03月08日 09:29
  • 3076
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:CSDN博客在用户认证方面的两个漏洞
举报原因:
原因补充:

(最多只允许输入30个字)