作者robertabcd (robert)
看板Soft_Job
標題Re: [討論] 暴力破解 ptt 任意帳號似乎成為了可能
時間Thu Oct 22 23:15:09 2020
抱歉, 這篇內容會跟本板稍無相關.
我想還是要來回一下這個問題已經修正了.
現在這個驗證碼會從 /dev/urandom 拿,
不會用 libc 的 rand 了.
補點小故事, 一開始做的時候並沒有要求過 captcha,
所以當時想說這問題不大,
因為認證碼只能輸入 3 次,
能在 3 次內猜中 seed 的機率不高.
後來加了認證碼才出現這個可以在外面先暴力算的問題.
還是感謝您的回報,
這類安全性的問題以後可以先寄信給站方,
等修復後再公開喔.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.172.15 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1603379711.A.B11.html
1F:推 ucrxzero: 聽說這個會同步阻塞 10/22 23:39
2F:推 viper9709: 還好修正了 10/23 01:08
3F:推 Bencrie: 一樓你知道那個 u 就是 unblocked 嗎 = = 10/23 01:40
4F:推 david0426: 推推 10/23 01:57
5F:推 dream1124: 推 10/23 07:22
6F:推 TakiDog: 推 10/23 08:12
7F:推 kloer: 不錯, 主要是這個洞影響沒這麼大, 帳號主人最終還是能拿回 10/23 08:16
8F:→ kloer: 所以考量之下就懶的走標準流程了 XD 10/23 08:17
9F:推 TonyQ: 辛苦了 10/23 11:46
10F:推 t1016d: 推 原來 ptt 能夠不斷線更新嗎 10/23 16:44
11F:推 siriusu: 推 辛苦了 10/23 20:10
12F:推 Burwei: 推 10/23 20:39
13F:推 jily: 辛苦了 10/23 22:43
14F:推 cocoyan: 推 10/24 02:52