最近研究登陆机制时发现discuz登陆机制有三个大问题。
2012-08-13 11:08
183 查看
最近研究网站的登陆机制,想看看discuz的模式看有什么参考的,发现确实有很多漏洞值得借鉴。
discuz关于破解用户密码的基础限制是同一个用户五次输入错误就屏蔽IP。
1、现在有一种做法是尝试简单密码刷多个账户。如尝试888888来刷论坛所有的用户一次。至于用户名单自然可以通过循环读取用户空间的来获取。原理:因为同一个用户只要尝试不达到5次,ip是不会被discuz屏蔽的,所以即使黑客刷了discuz所有用户一次,discuz本身并不会阻挡。
2、这时,站长们很自然想起discuz提供的验证码功能,discuz验证码种类丰富貌似强大。但实际上对这种破解简单密码是完全一点用都没的。 因为快捷登陆接口(inajax=1)提交时是验证密码成功后才开始检验验证码的。这样黑客依然可以刷账户,只要看见获取的提示是验证码错误即可判断是密码成功了。
3、主登录页面,这个页面会提示验证码才能提交。但事实上是这样? 只需你输入一次正确的验证码,用户名和密码可以不断更改来尝试,而不会提示刷新验证码的。也是等于无用。
涉及版本包括x2.0 x2.5,更旧的版本不知。 而且关于discuzx机制里面东西我还不清楚,但表面的验证问题我是操作过的。
刚也发了微博
discuz关于破解用户密码的基础限制是同一个用户五次输入错误就屏蔽IP。
1、现在有一种做法是尝试简单密码刷多个账户。如尝试888888来刷论坛所有的用户一次。至于用户名单自然可以通过循环读取用户空间的来获取。原理:因为同一个用户只要尝试不达到5次,ip是不会被discuz屏蔽的,所以即使黑客刷了discuz所有用户一次,discuz本身并不会阻挡。
2、这时,站长们很自然想起discuz提供的验证码功能,discuz验证码种类丰富貌似强大。但实际上对这种破解简单密码是完全一点用都没的。 因为快捷登陆接口(inajax=1)提交时是验证密码成功后才开始检验验证码的。这样黑客依然可以刷账户,只要看见获取的提示是验证码错误即可判断是密码成功了。
3、主登录页面,这个页面会提示验证码才能提交。但事实上是这样? 只需你输入一次正确的验证码,用户名和密码可以不断更改来尝试,而不会提示刷新验证码的。也是等于无用。
涉及版本包括x2.0 x2.5,更旧的版本不知。 而且关于discuzx机制里面东西我还不清楚,但表面的验证问题我是操作过的。
刚也发了微博
相关文章推荐
- 最近在研究HaarCascade发现的几个小问题
- 功耗问题研究——定时唤醒机制实际效果
- discuz3.2版本ucenter用户管理中心登陆问题解决办法
- MacBook 最近发现的一些问题和技巧
- 【研究】大学发现,特殊的学生的研究和培训机制
- 最近在研究dnn3.0.12,有个关于地址栏显示的问题
- 最近在做即时通讯,能收到消息的通知,问题是在聊天界面里如何在收到消息的时候刷新聊天listview,找遍sdk也没发现
- 【研究课题】高校特殊学生的发现及培养机制研究
- 【移动端兼容问题研究】javascript事件机制详解(涉及移动兼容)
- 一些最近发现的小问题
- Discuz后台UCenter无法登陆问题,…
- 发现Tomcat真TM问题多,受不了他的错误机制!
- MacBook 最近发现的一些问题和技巧
- 最近升级了Xcode4.2,结果编译之后发现程序的很多地方都不能用,或者出问题,所以结合网友们的情况把遇见的列出来:
- 【移动端兼容问题研究】事件机制详解(涉及移动兼容)
- MacBook 最近发现的一些问题和技巧
- 胡言乱语最近学习中发现的技术小问题!
- 最近发现的一些小问题
- 最近发现了 个问题 哈哈!!!
- Count(*) 为0的问题研究 --- 后来发现问题终于可以重现了,参考我后面的关于merge的文章