問題主要有以下幾點
1.使用者登入form採用get提交到伺服器去驗證(在某些情況下可被**或網路中其他惡意使用者嗅探到)
2.使用者密碼直接以md5形式儲存在cookie中sundxshop變數中,格式為username=e0e1048b83b20ecc (其中=後為使用者密碼的md5值
3.使用者登入安全控制不足
我沒有猜出這個url中的一些隨機數字是怎麼生成的,但是這個url替換使用者名稱和密碼是可以重複利用的,可以用於暴力猜解
4.無安全意識,使用者登入賬號直接顯示,未設定暱稱來保證登入賬號
從這個頁面可以看出,51fanli不存在暱稱,也就是在
這種空間中顯示的使用者名稱就是使用者登入所用的使用者名稱
利用: www.2cto.com
1.遍歷 這種個人空間,得到使用者名稱
2.通過對比弱口令(或者自己的密碼庫),到
這個登入校驗url用程式遍歷密碼去檢查密碼是不是正確
3.根據使用者的弱口令的分布比例,下點功夫寫個程式去跑一跑,,百分之10到20的使用者還是能猜解到密碼搞到賬戶的吧
修復建議
1.使用者密碼不要直接md5儲存,要儲存也要加salt或變形,畢竟只是拿來校驗,md5明文不可取
2.對於使用者登入url要嚴格控制,多次嘗試失敗是彈驗證碼了,但是無驗證碼的url一樣可用,應該基於url的訪問頻率來控制下
3.增設暱稱,強制使用者修改與登入賬戶不同,以保護使用者賬號
這個玩意沒什麼技術含量,但是個人屬於螞蟻咬死大象型別的,幾個雞肋的地方組合起來,還是能搞到一定內容的,建議各方面設計的嚴謹些,有縫就會進風
作者 我真的不帥
c51優化等級 keil keil優化等級設定
優化級別說明 僅供參考 則其中的 code optimization 欄就是用來設定 c51的優化級別。共有個優化 級別 書上這麼寫的 高優化級別中包含了前面所有的優化級別。現將各個級 別說明如下 級優化 常數摺疊 只要有可能,編譯器就執行將表示式化為常數數字的計算,其中 包括執行位址的計算。簡單訪...
基於51微控制器溫控風扇系統控制設計(畢業設計資料)
覆銅板2017 271 51溫控風扇 ds18b20 熱釋 lcd1602 本設計由stc89c52微控制器電路 溫度ds18b20感測器電路 熱釋紅外感測器電路 風扇控制電路 按鍵電路 1602液晶顯示電路 電源電路組成。1 通過4個ds18b20檢測溫度,並將平均值實時顯示在液晶1602液晶上。...
基於51微控制器溫控風扇系統控制設計(畢業設計資料)
覆銅板2017 271 51溫控風扇 ds18b20 熱釋 lcd1602 本設計由stc89c52微控制器電路 溫度ds18b20感測器電路 熱釋紅外感測器電路 風扇控制電路 按鍵電路 1602液晶顯示電路 電源電路組成。1 通過4個ds18b20檢測溫度,並將平均值實時顯示在液晶1602液晶上。...