选课的那天发现了选课系统选课的时候不能显示下一页,发现这是一个bug。又看到系统登录的时候居然没有要求验证码,而且又没有设置登录限制,而且大家的初始密码都是六位的,所以对于暴力破解还是比较简单的。如果大家初始密码没有改的话,要破解的话是非常简单的。今天没事就验证了一下,确实能实现暴力破解,所以大家还是把密码改的复杂一些吧! |
[在校|研一·研二·研三] 选课系统可以被暴力破解(大家密码改的复杂些)
Darcy
· 发布于 2013-08-29 22:21
· 3982 次阅读
转载文章时务必注明原作者及原始链接,并注明「发表于 软院网 RuanYuan.Net 」,并不得对作品进行修改。
Why? 发表于 2013-8-30 09:01 只是嵌入式的 基本课而已 |
antty 发表于 2013-8-30 13:02 知道登录的时候post的参数,然后模拟登录就行了。 |
kjtt 发表于 2013-8-30 18:55 那个是sql注入,我说的是暴力破解。sql注入没试过,一般是不会被注入的。 |
Darcy 发表于 2013-8-30 12:56 嗯,是的,还是谨慎点好 |
Darcy 发表于 2013-8-30 23:05 知道密码有多少位,然后每位可能出现的字符进行排列组合即可 |
洋哥不能这么谦虚的…… |
Darcy 发表于 2013-8-30 23:07 交钱那个网站。。更是没法看,都是用js跳转的,js里各种奇葩注释。。。我真怕被黑了- - |
rhythmhui 发表于 2013-8-31 00:16 但这只是理论上的,几十万只是一个很小的密码范围的。复杂一点的话,肯定要来个几十亿次的。 |
likeada.com 发表于 2013-8-31 09:34 这个确实要吐槽下 |
我来观摩学习! |