不显示删除回复显示所有回复显示星级回复显示得分回复 告诉大家:CSDN的漏洞远不止明文密码这么简单,漏洞多了去了
昨天出了这事之后,昨晚我把自己密码改了,收到邮件确认密码修改成功,然后也在自己宿舍的电脑重新用改过的密码登陆过了。今天来到公司,打开IE,进CSDN,完蛋:直接登陆了,并且进行一切操作都没问题。
这代表什么呢?一个网站在本机上存COOKIE的话,一般来说是存用户名、密码、日期等,然后登的时候进行各种验证,如果符合就继续,不然就叫你登陆。
昨天我在自己宿舍改了密码,今天在公司电脑用旧的COOKIE竟然不用重新登陆,说明CSDN保存在本机的COOKIE根本就不包含密码信息,而且CSDN也根本不验证COOKIE的有效性!!!!
这样一来,其实可以非常容易的伪造COOKIE,直接登陆任意一个账号,做任何你要的操作!
十几年前我在黑学校网站的时候还比这个麻烦呢:要先入侵数据库,获得MD5加密后的密码。然后在本机伪造COOKIE,包含用户名、加密后的密码、时间日期等,才能骗过网站。而CSDN………………
全球最大的中文技术社区?全球技术最烂的社区吧!!!!
该怎么办? 这SB网站现在就知道挂广告捞钱
哪还管得了其他的 树大招风,还不自修,必然结果 反正现在来也就是灌水,大家热闹热闹而已.随他去吧, 就像不对国家再报希望一样, 也不对CSDN抱有任何好的想法 顶楼主 反正是程序员们的所有密码全泄露,包括百度文库,游戏,邮箱。。。真糟糕,
上午下了个看了下SQL内容,试了几个邮箱,还真的直接进入了。。
有密码相同的,全要改啊,不只是CSDN了,估计这个泄露损失大了。 做什么都好,看他有没有遇到挫折就马上改正的心
记得原来就有一个博客刷新问题,在论坛上面提问了,然后就改正了
希望用户的监督对建站是一个好事,
也希望csdn从此多吸收点技术大牛,主抓一下健壮性 123456789 正解。。
所以一定要用不同的密码,怕记不住就用本子写下来——最厉害的黑客也偷不到你随身的小本子。 不用明文密码没法应付检查。大家知道易做图,有时往往会一个电话过来,要 XX 用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。
------------------------------------------------
终于知道为什么多知名网站使用明文保存密码的原因了,符合中国国情的中国特色! 中国特色! 凑个热闹 还在斗争啊,被删了多少了??? 修改密码OK! 改密码后终于上来了 本帖最后由 daisy8675 于 2011-12-30 17:22:43 编辑
老马,亏你这么聪明,他说的傻话你也信? 知道GFW的话,你们就不会那么纠结了,我很想用一个自己的域名做自己的博客,像小榕那样
但是我找不到合适的服务商,现在真是“四海之大,无容身之地矣!” 围了个观 打酱油的路过,账户丢了就丢了,反正也没啥重要东东,大不了以后不来就好了。 被攻陷的不见得是网站 而是提供服务的服务器公司 呵呵 当盖楼成了习惯……
私信
补充:VB , 非技术类