选课系统可以被暴力破解(大家密码改的复杂些)
选课的那天发现了选课系统选课的时候不能显示下一页,发现这是一个bug。又看到系统登录的时候居然没有要求验证码,而且又没有设置登录限制,而且大家的初始密码都是六位的,所以对于暴力破解还是比较简单的。如果大家初始密码没有改的话,要破解的话是非常简单的。今天没事就验证了一下,确实能实现暴力破解,所以大家还是把密码改的复杂一些吧!技术帝 擦,狠人啊 {:6_163:} 你想干嘛。。。洲际导弹已经锁定 请注意查收 人肉出来,咋们把他吃了。。 这个时候应该求源码吧! 风花雪月 发表于 2013-8-29 22:42
技术帝
小白一个,你高看了。 terry 发表于 2013-8-29 23:00
擦,狠人啊
没有验证码又没有登录限制的网站很少见! nwpunene 发表于 2013-8-29 23:00
你想干嘛。。。洲际导弹已经锁定 请注意查收
这。。。。。。。 zj220223 发表于 2013-8-29 23:05
人肉出来,咋们把他吃了。。
这。。。。。 Beyond_cc 发表于 2013-8-29 23:43
这个时候应该求源码吧!
源码很简单的,知道整个登录的过程就可以了。 骚年们 赶紧改密码 小心被退课 xywhere 发表于 2013-8-30 07:43
骚年们 赶紧改密码 小心被退课
看来你选课单中有不少极品哦~{:10_465:} Darcy 发表于 2013-8-30 00:10
没有验证码又没有登录限制的网站很少见!
主要是我们选课网站没什么价值
没有人会攻击,所以估计就没考虑安全问题
按道理应该如你所说
但是估计没有这么无聊的人吧
除非自己没选上课怀恨在心,哈哈哈 Why? 发表于 2013-8-30 09:01
看来你选课单中有不少极品哦~
只是嵌入式的 基本课而已 admin 发表于 2013-8-30 10:57
主要是我们选课网站没什么价值
没有人会攻击,所以估计就没考虑安全问题
按道理应该如你所说
要是被人退课就不好了。 xywhere 发表于 2013-8-30 07:43
骚年们 赶紧改密码 小心被退课
担心的就是这个 如果设置验证码,选课时又要骂了,不过楼主能否告知破解方法{:5_124:} antty 发表于 2013-8-30 13:02
如果设置验证码,选课时又要骂了,不过楼主能否告知破解方法
知道登录的时候post的参数,然后模拟登录就行了。 admin 发表于 2013-8-30 10:57
主要是我们选课网站没什么价值
没有人会攻击,所以估计就没考虑安全问题
按道理应该如你所说
同意admin所说的谁没事攻击我们的选课网站啊虽然我是没那本事 可以吐槽科大的所有网站几乎都烂的一塌糊涂嘛。。。 你试过了吗?用那种数据库的那种基本的 填密码时 **||true可以? kjtt 发表于 2013-8-30 18:55
你试过了吗?用那种数据库的那种基本的 填密码时 **||true可以?
那个是sql注入,我说的是暴力破解。sql注入没试过,一般是不会被注入的。 Darcy 发表于 2013-8-30 12:56
要是被人退课就不好了。
嗯,是的,还是谨慎点好 勇敢De面对 发表于 2013-8-30 16:25
同意admin所说的谁没事攻击我们的选课网站啊虽然我是没那本事
所谓暴力破解,你编辑一个自动循环登陆的就可以,一个个试,最后肯定能破解出来,就是花时间长短而已 admin 发表于 2013-8-30 21:14
所谓暴力破解,你编辑一个自动循环登陆的就可以,一个个试,最后肯定能破解出来,就是花时间长短而已
恩谢洋哥教导 我也知道只不过没本事做出来 其实应该也不难只是我渣渣 你把admin账号破解了没? 能暴力破解很正常吧?一个是这个系统本身没有防护价值,另外就是觉得科大的服务器好像就只有一台路由的感觉……跳数真诡异…… 勇敢De面对 发表于 2013-8-30 21:32
恩谢洋哥教导 我也知道只不过没本事做出来 其实应该也不难只是我渣渣
我也是渣渣 {:8_365:} admin 发表于 2013-8-30 21:14
所谓暴力破解,你编辑一个自动循环登陆的就可以,一个个试,最后肯定能破解出来,就是花时间长短而已
是这样子的,如果没有修改密码就只有31万种可能。 rhythmhui 发表于 2013-8-30 21:51
能暴力破解很正常吧?一个是这个系统本身没有防护价值,另外就是觉得科大的服务器好像就只有一台路由的感觉 ...
如果有登录限制,或者验证码怎么暴力破解? caesarjuly 发表于 2013-8-30 17:46
可以吐槽科大的所有网站几乎都烂的一塌糊涂嘛。。。
确实做的比较粗糙 lifeisto 发表于 2013-8-30 21:45
你把admin账号破解了没?
你说笑了,只是让大家谨慎点,毕竟要去无缘无故被退课了,肯定不爽的。 Darcy 发表于 2013-8-30 23:05
是这样子的,如果没有修改密码就只有31万种可能。
知道密码有多少位,然后每位可能出现的字符进行排列组合即可 Darcy 发表于 2013-8-30 23:07
如果有登录限制,或者验证码怎么暴力破解?
理论上只是减缓破解进程,尤其是文字验证码和算法差的图片验证码,有很多现成可用的算法进行自动识别。限制登录次数也不过是减缓你破解的速度,你连续5次错误锁住30分钟被email账号主人提醒。如果没有限制和验证码的话,试个几十万次其实用不了多久 admin 发表于 2013-8-30 22:19
我也是渣渣
洋哥不能这么谦虚的…… Darcy 发表于 2013-8-30 23:07
确实做的比较粗糙
交钱那个网站。。更是没法看,都是用js跳转的,js里各种奇葩注释。。。我真怕被黑了- - rhythmhui 发表于 2013-8-31 00:16
理论上只是减缓破解进程,尤其是文字验证码和算法差的图片验证码,有很多现成可用的算法进行自动识别。 ...
但这只是理论上的,几十万只是一个很小的密码范围的。复杂一点的话,肯定要来个几十亿次的。 更搞笑的是,改密码那页有时找不到确定按钮,直接按回车也不行。我想可能焦点不在那个隐身的“按钮”上,于是我按了几下tab,又按了一下回车竟然改成了。 likeada.com 发表于 2013-8-31 09:34
更搞笑的是,改密码那页有时找不到确定按钮,直接按回车也不行。我想可能焦点不在那个隐身的“按钮”上,于 ...
这个确实要吐槽下 好恐怖的样子。。。。。。。。。。。。。 我来观摩学习! 如果真有人破解了再登陆别人系统强制退课神马的。。。那节操真的碎了 阎魔あい 发表于 2013-8-31 11:16
好恐怖的样子。。。。。。。。。。。。。
其实还好啦!大家稍微注意下就行,正常是没事的。 vo_ 发表于 2013-8-31 20:36
如果真有人破解了再登陆别人系统强制退课神马的。。。那节操真的碎了
那确实,不过防范于未然嘛!
页:
[1]