S*********g
发帖数: 1 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: thethirdwave (The Third Wave), 信区: sysop
标 题: 请站方关注本站登录ID大小写问题
发信站: BBS 未名空间站 (Wed Jan 26 17:11:19 2022, 美东)
站方最近去掉了旧的四个字母的验证码,用户在登录时无需再输入验证码,新的方式是
用户输错密码一次后,第二次登陆时需要把一个图象调正,但是用户只需要把登录ID的
其中任何一个字母更改大小写,就可以绕过这个防御机制。这个安全漏洞给黑客提供了
极大便利,造成大量用户帐号和密码被盗用。
比如本帐号thethirdwave,只要改成theThirdwave或者thethirdWave即可绕过图形调正
的步骤。
请站方关注这个问题,即使修改程序堵塞漏洞。
同样的密码输入错误三次一小时不可登录,和输错五次24小时不可登录,也可以通过更
改ID大小写绕过。
这样黑客就可以无限制尝试用户的密码,进行brute force 攻击。
根据用户在军版的反应,似乎某黑客已经用这种方法盗取了大量用户ID和密码。
请站方关注,及时修复,保障用户权益。
谢谢 | p****n
发帖数: 225 | | S*********g
发帖数: 1 | 3 水明的杰作
大家自己判断一下这个人吧
而且他很perseverant,一直在用小号发油管视频harvest买提用户信息
而且有的时候会故意透露一点他的意图,但不是全部 |
|
