【豹赢app下载安装-豹赢彩票app下载安装】电脑报第38期安全防线

  • 时间:
  • 浏览:0
  • 来源:大发龙虎大战-龙虎大战官方

电脑报第38期安全防线

  • 2016/9/28 10:26:31
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】每天也有新的安全威胁产生,每天也有电脑遭受攻击,每天大家儿都收到而是安全求助信。大家儿将从有有哪些求助信息中选着出具有代表性的进行深入的分析和讨论,给出具有通用性质的除理方案。微博求助:http://weibo.com/cdx1983。

安全预警

每天也有新的安全威胁产生,每天也有电脑遭受攻击,每天大家儿都收到而是安全求助信。大家儿将从有有哪些求助信息中选着出具有代表性的进行深入的分析和讨论,给出具有通用性质的除理方案。微博求助:http://weibo.com/cdx1983

登录少女心爆棚的电台 过把少女心爆棚的瘾

  普通人都可不还可以 当少女心爆棚吗?为什么在么在会 也得找那我包装团队、想想为什么在么在会 出彩、找找都可不还可以 操作的题材……还要没有错综复杂吗?实在,在某知名电台APP的公众平台中,就都可不还可以 重置少女心爆棚账号的密码,从而登录该账号过一把少女心爆棚的瘾!

      技术分析

      白帽子 路人甲:微信微博埋点用户碎片化的时间,视频为用户带来全新的内容视觉体验,而音频则为用户增加了时间使用的重叠价值,用户都可不还可以 通勤、运动、家务等那我一块儿听有有哪些有声内容,这这就比较慢都可不还可以 理解,为有哪些少女心爆棚之中会有一批人一块儿绽放于音频平台。嗯嗯,于是顺手测试了少女心爆棚较多的某电台APP,没有发现有哪些问題报告 ,可在公众平台发现了问題报告 。

  这一平台是给主播用户登录用的,在这一平台的“找回密码”处,发现了验证码,灵机一动,想到了经典密码重置漏洞。这一网站设计“找回密码”功能时,会给指定的手机号发送那我用于验证身份的验证码,如可让不到用户输入正确的验证码,才都可不还可以 进行密码重置了。那我将会验证设计过于简单,且对校验码的校验使用次数没有进行限制,原因分析分析正确的验证码都可不还可以 被枚举爆破,从而重置密码——大多数网站采取的4~6位纯数字验证码的,且没有防爆破设计。

  这一电台公众平台的“找回密码”好不好有那我的问題报告 呢?随意输入那我少女心爆棚的账号,点击“获取验证码”,如可让黑客抓包工具拦截到数据包,就看了经过加密的手机验证码,破解这一验证码发现是82500,最后输入验证码和新密码,修改少女心爆棚的密码。最后登录了少女心爆棚的账号。

  到了这一步,你说有哪些想干的坏事是也有很容易,类似谎称少女心爆棚生病了,宣告那我募捐的账号……

 

泄露被委托人隐私

       小贴士:有的网站设计找回密码功能时,会给指定的用户邮箱发送那我用于校验的url链接,链接中一般会居于那我比较重要的参数,那我是用户名,那我而是加密的字符串(通过服务器端的这一算法生成的用来验证用户身份的参数)。用户点击邮箱中的重置密码链接,就都可不还可以 重置帐号密码了。如可让,都可不还可以 通过窜改用于校验的加密字符串参数达到偷梁换柱的目的,从而重置密码。不过这一土办法有那我难处,为什么在么在会 知道并进入用户的邮箱呢?

      读者点评

      @迷茫的烧麦:实在一个劲 看电脑、看手机,眼睛非常疲劳,睡觉前听听音频节目还是不错的。

      @子谦闲语验证码用BASE 64解码的,感觉加密强度还是过低,还是要用双重加密土办法才安全。

本文出自2016-09-26出版的《电脑报》2016年第38期 A.新闻周刊 (网站编辑:wendy)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务媒体协作 | 友情链接 | 关于大家儿 | 招聘信息

报纸客服电话:5006677866 报纸客服信箱:pcw-advice@vip.sina.com 友情链接与媒体协作:987349267(QQ) 广告与活动:6750009(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 5006-2011 电脑报官方网站 版权所有 渝ICP备500009040号