CSDN博客在用户认证方面的两个漏洞

最新推荐文章于 2024-12-17 00:56:44 发布
最新推荐文章于 2024-12-17 00:56:44 发布
阅读量601 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 破解 blog 编程 tcp qq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/networkcrazy/article/details/1792969
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy

今天在在登录CSDN博客的时候,无意间输错了用户名,经过反复试验,发现了两个编程不严密的地方。

1、探测用户名BUG。当我们输入了不存在的用户名和密码时,它确弹出如下提示,如图1

                                                          图1
这条信息对暴力破解十分有用,一下子就我们探测到了某个用户不存在。

然后,当我们入正确的用户名和错误的密码时,它确弹出如下提示,如图2

                                                              图2

这样一来,我们就一下子知道了某个用户的存在。接下来就是破解密码了。。。

2 验证码不刷新BUG。一亘我们和登录BLOG页面建军立了一次TCP HTTP连接后,在这个连接断开之前,它的验证是不会改变的。也就是说,当我们进行暴力破解时,验证码就形同虚设,我们输入了错误的密码,只是给出了“密码或账号不正确”提示,我们再后退到原来的登录页面,验证码仍为以前的验证码,事实证明,这个旧的验证码是仍旧可以用的。

结论:我认为只要稍具水平的黑客便可以获得别人的账号和密码。(仅个人意见,不知其中是否还有别的严密验证技术在里面,恕我水平有限,如有不对,还请指正。谢谢!)


networkcrazy
关注
CVE-2025-26466和CVE-2025-26465,这两个漏洞的解决方式除了升级Openssh9.9p2版本外,是否有其他方式解决?
**My Coding Family**
07-14 2172
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!
[ vulhub漏洞复现篇 ] Apache Shiro 认证绕过漏洞(CVE-2020-1957)
qq_51577576的博客
08-17 1490
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!...
关于CSDN的一个安全漏洞
weixin_33916256的博客
12-22 166
在浏览CSDN博客是,偶然发现CSDN的一个安全漏洞,对于我们来可能没有什么攻击的必要,但是如果不修复,还是有很大的隐患的,下面贴出来看看<:_:> 如上图所示,通常在web浏览页面是,遇到不能访问的页面或者是目录,程序应该给予一个统一的错误提示,而且错误提示信息必须要屏蔽所有可能造成攻击的信息。 以上首先提示了HTTP404错误,表示找不到相应的请求资源; 接下来还提供了...
csdn得分规则小漏洞
jessica
10-21 1123
闲着无聊,把发现的csdn给分的一点小问题写下来 我发现的csdn博客得分规则如下: 每发表一篇原创文章或翻译一篇文章+10分 每转载一篇文章+2分 用户评论一条+1分 博主自己回复以及恢复别人都不得分 博主删除一篇文章后会相应的减去发文章给的10分以及用户评论所得分数 博客阅读数量每满100+1分 但是存在一个小问题哦,如果发文章时本来是转载的刚开始写的是原创,但是没注意写成原创发
CSDN登录BUG,验证码BUG????
珍惜当下
11-22 204
1 CSDN 登录失败,没有异常返回?2 修改密码,手机号不发送验证码,没反应。
终于解决了“登陆CSDN网站时,验证码错误”的问题
liucc101x的专栏
01-12 3854
在家中登陆CSDN,一切正常, 在办公室登陆,总是报“验证码错误”,试了无数次依旧不行。 浏览器先用了Chrome,后换用了IE,结果一样。 清空Cookie,仍然无效。(Internet安全性调到了中,设置Cookie每次都检查)。 家中的电脑和单位的用的是同样版本的Windows XP,没理由不同啊。 最后终于发现了——办公室电脑的时间有问题,比北京时间快了10分钟,
CSDN验证码验证失败问题解决
suoyihen
01-12 648
纠结了好几天,由于这个CSDN登录验证码总是验证失败,GOOGLE了好几天,终于找到问题的所在。 刚开始自己以为是linux下seesion的用户读写权限问题,自己用root账户登录后,试了好几个不同内核的浏览器问题依旧,所以才确保不是用于的权限问题造成的。 真正的原因是本机的时间与CSDN服务器时间不一致问题。查了下才知道,自己的时区设置的是NewYork时间,经过时区换算,得到的北京时间比服务...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 4037
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
【ASP.NET用户认证全流程】:从加密到令牌,确保登录安全无漏洞
本论文系统地探讨了ASP.NET用户认证的基础知识、加密技术的应用、令牌机制的实现以及在构建安全认证流程中的实践。通过对用户认证中使用到的加密技术,包括对称加密与非对称加密的原理和选择、密码存储的哈希函数及...
CVE-2024-10924 WordPress —— Really Simple Security 插件身份认证绕过漏洞
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-17 1406
本文详细讲述了 WordPress CVE-2024-10924 漏洞产生的原因和复现过程,帮助渗透测试人员挖掘漏洞,开发人员避开漏洞
CSDN发布文章之漏洞
weixin_44003632的博客
01-24 572
今天第一天来CSDN,想好好表现一下,多发几篇文章。结果它每天只让发布10篇文章。 难受,然后我将它存为草稿,再点击查看,编辑,发布文章。成功~美滋滋。 ...
web渗透测试----11、身份认证漏洞
七天
03-10 6041
文章目录一、什么是身份认证?1、身份认证三要素:2、身份认证和授权的区别:二、身份验证漏洞如何产生?三、身份认证常见的漏洞一、基于密码的登录漏洞1、密码破解2、用户名猜解3、用户名枚举4、目前防止暴力攻击的最常见方法是:二、双因子身份验证中的漏洞1、绕过双因子验证2、双因子验证逻辑错误3、暴力破解2FA验证码三、其他身份验证机制中的漏洞1、保持用户登录状态2、重置用户密码四、身份认证相关漏洞的防御 一、什么是身份认证? 身份认证是验证给定用户或客户端身份的过程。简单理解就是如何让别人相信你就是你。 1、
登录验证码漏洞
夜行者的博客
02-18 2148
检测方法: 1)验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞; 2)在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞; 3)验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞; 4)生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞; 5)生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞; 6)请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次
常见验证码漏洞总结
kracer的博客
11-29 1万+
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码的机制原理: Step1:...
安全漏洞的分类、描述与解决方案
热门推荐
花米徐xl_lx的专栏
07-24 1万+
安全测试,安全漏洞
结合OWASP MASVS标准,如何在移动应用中设计和实现一个安全的身份认证和授权机制?
11-05
要确保移动应用的安全性,遵循OWASP移动应用安全验证标准(MASVS)是至关重要的一步。在身份认证和授权机制的设计与实现过程中,你需要关注几个关键点: 参考资源链接:[OWASP移动应用安全测试指南v1.5:全面中文译本](https://wenku.csdn.net/doc/3ho6k3d7q2?spm=1055.2569.3001.10343) 1. **遵守MASVS的L1和L2要求**:OWASP MASVS将移动应用安全分为两个级别,L1面向大众应用,L2则是针对高风险的应用。L2提出了更严格的安全要求,例如使用强加密协议、实施多因素认证等。 2. **实施强健的认证机制**:这包括使用密码、生物识别或安全令牌等多种认证因素。例如,可以实现基于生物识别的认证技术,如指纹或面部识别,并确保这些数据在设备上安全存储。 3. **加密数据传输**:使用SSL/TLS等安全协议来保护数据传输过程中的敏感信息不被截获或篡改。确保实现加密时符合OWASP MASVS的安全要求,例如使用最新的安全标准和推荐算法。 4. **授权策略的设计**:设计细致的权限管理策略,确保应用根据用户角色和上下文环境提供适当的访问权限。最小权限原则是关键,这意味着应用仅获得完成任务所必需的权限。 5. **代码级别的安全措施**:通过代码审查、静态和动态分析工具来检测和缓解代码中的安全漏洞。MASVS提供了详细的安全编码实践清单。 6. **逆向工程防护**:应用防篡改技术如代码混淆和反调试机制,以增加逆向工程的难度。同时,定期更新应用和修补安全漏洞也是必要的。 7. **应用安全测试**:进行定期的安全测试,包括渗透测试、安全扫描和代码审计,以确保身份认证和授权机制的有效性。 通过以上步骤,可以有效地按照OWASP MASVS标准构建移动应用中的身份认证和授权机制。为了更深入地了解MASVS标准和具体实施细节,建议参考《OWASP移动应用安全测试指南v1.5:全面中文译本》。这本书不仅提供了理论知识,还有针对移动应用安全测试的实用工具和方法,是安全测试人员必备的参考资料。 参考资源链接:[OWASP移动应用安全测试指南v1.5:全面中文译本](https://wenku.csdn.net/doc/3ho6k3d7q2?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值