write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy
今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。
1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1
图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。
然后,当我们入正确的用户名和错误的密码时,它确弹出如下提示,如图2
图2
这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。
2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。
结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)
http://blog.csdn.net/networkcrazy
今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。
1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1
图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。
然后,当我们入正确的用户名和错误的密码时,它确弹出如下提示,如图2
图2
这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。
2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。
结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)