热搜:6KBBS6kbbs V8.0 官方论坛
当前位置: 6kbbs V8.0 官方论坛 » 程序发布 » BUG:20100729001-activecode 漏洞
帖子状态  
本帖子共有 6903 位阅读者, 4 个回复.
  • 回复
5条记录

zym

管理员
帖子
1104 
金钱
8002 
魅力
1083 
威望
1083 
头衔
Founder 
注册
2004-07-12 
zym 发表于 2010-07-29 14:16   
BUG:20100729001-activecode 漏洞
今天又被Lamking老人找到一个理论上的漏洞,但是在实际执行中也是可能的。
activecode漏洞,
$activecode=md5($row['username'].$_SYS['time'].mt_rand(1000,9999));
破解者在知道用户username和email之后,可以生成一条重置密码的链接,
然后再暴力破解,循环生成activecode来破解。破解的几率大约为 0.005%,但是仍然认为是可能的。
现在已经修复,在生成$activecode的时候加入用户的旧密码在里面。杜绝了这个0.005%的可能。
下载地址:
http://www.6kbbs.com/download/bug-20100729-001.rar
最新的测试版中已经更新,无须打上该补丁。
再次感谢Lamking
该帖子于 2010-07-29 14:18 编辑过
官网虚拟主机购买:QQ 70767766

冰封临界

荣誉会员
帖子
94 
金钱
2771 
魅力
89 
威望
89 
注册
2004-11-21 
冰封临界 发表于 2010-07-29 15:07   
RE:BUG:20100729001-activecode 漏洞
万能的河马~~~撒花~!
这个世界充满了太多的不包容,做好自己吧~!

小宝

荣誉会员
帖子
65 
金钱
157 
魅力
82 
威望
82 
头衔
自由站长 
注册
2004-07-12 
小宝 发表于 2010-07-29 21:39   
RE:BUG:20100729001-activecode 漏洞
万能的主啊,河马
网络对每个人都是公平的,没有高低贵贱,没有美丑贫富,她就像一座美丽的大山,每个人都可以到达顶峰,只要你找到合适的入口......

lwlliang

荣誉会员
帖子
38 
金钱
101 
魅力
38 
威望
38 
注册
2007-03-23 
lwlliang 发表于 2010-08-02 13:21   
RE:BUG:20100729001-activecode 漏洞
牛人啊~~~~~~

scofier

初中生
帖子
28 
金钱
39 
魅力
39 
威望
39 
注册
2010-08-09 
scofier 发表于 2010-08-09 16:02   
RE:BUG:20100729001-activecode 漏洞
哇  学习了 ~~
  • 回复
5条记录