作者robertabcd (robert)
看板Soft_Job
标题Re: [讨论] 暴力破解 ptt 任意帐号似乎成为了可能
时间Thu Oct 22 23:15:09 2020
抱歉, 这篇内容会跟本板稍无相关.
我想还是要来回一下这个问题已经修正了.
现在这个验证码会从 /dev/urandom 拿,
不会用 libc 的 rand 了.
补点小故事, 一开始做的时候并没有要求过 captcha,
所以当时想说这问题不大,
因为认证码只能输入 3 次,
能在 3 次内猜中 seed 的机率不高.
後来加了认证码才出现这个可以在外面先暴力算的问题.
还是感谢您的回报,
这类安全性的问题以後可以先寄信给站方,
等修复後再公开喔.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.112.172.15 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1603379711.A.B11.html
1F:推 ucrxzero: 听说这个会同步阻塞 10/22 23:39
2F:推 viper9709: 还好修正了 10/23 01:08
3F:推 Bencrie: 一楼你知道那个 u 就是 unblocked 吗 = = 10/23 01:40
4F:推 david0426: 推推 10/23 01:57
5F:推 dream1124: 推 10/23 07:22
6F:推 TakiDog: 推 10/23 08:12
7F:推 kloer: 不错, 主要是这个洞影响没这麽大, 帐号主人最终还是能拿回 10/23 08:16
8F:→ kloer: 所以考量之下就懒的走标准流程了 XD 10/23 08:17
9F:推 TonyQ: 辛苦了 10/23 11:46
10F:推 t1016d: 推 原来 ptt 能够不断线更新吗 10/23 16:44
11F:推 siriusu: 推 辛苦了 10/23 20:10
12F:推 Burwei: 推 10/23 20:39
13F:推 jily: 辛苦了 10/23 22:43
14F:推 cocoyan: 推 10/24 02:52