很简单,passport下面的某借口,登陆验证,使用的还是get,还没有验证码

http://passport.csdn.net/ajax/accounthandler.ashx?t=log&u=testuser&p=testpasswd&remember=0&callback=csdn.login_back&r=1403065352217 HTTP/1.1

就是这里了,直接get提交了登陆验证,

撞了下,4k,命中率30,好低啊,看来我组织的数据不好,

 csdn某登陆借口 设计缺陷可爆破或撞库(4000命中插图

csdn某登陆借口 设计缺陷可爆破或撞库(4000命中插图1

修复方案:

1,用get就不应该了吧,你们想学ctrip?

2,加个验证码什么的也不难吧,

    上一篇: 极光推送系统邮箱弱密码导致重置任意用户帐号

    下一篇: QQ旋风离线空间可通过钓鱼执行XSS - 网站安全 -
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《csdn某登陆借口 设计缺陷可爆破或撞库(4000命中
   

还没有人抢沙发呢~