V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
adidala
V2EX  ›  奇思妙想

发现 V2 一个安全漏洞,登录错误时验证码不更新

  •  
  •   adidala · 2018-09-11 10:04:00 +08:00 · 3700 views
    This topic created in 2300 days ago, the information mentioned may be changed or developed.
    登录前的验证码

    第一次登录失败后的验证码

    第二次登录失败后的验证码


    这类问题不大不小,可以导致用户口令被暴力破解。

    @Livid
    10 replies    2018-09-12 23:31:40 +08:00
    noe132
        1
    noe132  
       2018-09-11 10:16:53 +08:00 via Android
    并不算很严重的问题。

    你要能暴力破解,首先要能判断这两个验证码结果一样。

    既然都能解析验证码结果了,还有什么网站是不能暴力破解的呢?
    noe132
        2
    noe132  
       2018-09-11 10:18:55 +08:00 via Android
    我记得好像之前只是密码输入正确验证码不对时验证码不变
    nazor
        3
    nazor  
       2018-09-11 10:19:48 +08:00
    @noe132 这个 BUG 会导致容易大量生成神经网络的测试集。
    sampeng
        4
    sampeng  
       2018-09-11 10:30:30 +08:00
    @nazor 暴力破解了 V2EX 干嘛呢?刷 php 全世界第一?
    adidala
        5
    adidala  
    OP
       2018-09-11 10:30:57 +08:00
    @noe132 既然我已经知道了验证码不变,就可以用程序批量跑口令字典了。你说的那个我不需要解析验证码结果,人眼看了一次后输入到程序里面就行了,反正是不变的
    ooooo
        6
    ooooo  
       2018-09-11 10:34:17 +08:00
    最近一段时间,火狐浏览器上面无法登陆,点登录就跳转到主页了,是什么原因
    Livid
        7
    Livid  
    MOD
       2018-09-11 11:32:56 +08:00
    @adidala 登录接口上有频次限制。触发之后就会发告警信及封 IP。
    casztg
        8
    casztg  
       2018-09-11 11:59:10 +08:00
    是的。。有 IP 封禁限制。那天不小心按了 F5 好几下········
    intmax2147483647
        9
    intmax2147483647  
       2018-09-12 17:20:45 +08:00
    @casztg 你确定是不小心←_←
    zenze
        10
    zenze  
       2018-09-12 23:31:40 +08:00
    @intmax2147483647 我上次不小心按很多次 F5 是为了看进度条变色
    About   ·   Help   ·   Blog   ·   API   ·   FAQ   ·   Tools   ·   2859 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:36 · PVG 16:36 · LAX 00:36 · JFK 03:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.