发现 V2 一个安全漏洞，登录错误时验证码不更新

2018-09-11 10:04:00 +08:00

adidala

登录前的验证码

第一次登录失败后的验证码

第二次登录失败后的验证码

这类问题不大不小，可以导致用户口令被暴力破解。

@Livid

3487 次点击

所在节点

10 条回复

noe132

2018-09-11 10:16:53 +08:00

并不算很严重的问题。

你要能暴力破解，首先要能判断这两个验证码结果一样。

既然都能解析验证码结果了，还有什么网站是不能暴力破解的呢？

noe132

2018-09-11 10:18:55 +08:00

我记得好像之前只是密码输入正确验证码不对时验证码不变

nazor

2018-09-11 10:19:48 +08:00

@noe132 这个 BUG 会导致容易大量生成神经网络的测试集。

sampeng

2018-09-11 10:30:30 +08:00

@nazor 暴力破解了 V2EX 干嘛呢？刷 php 全世界第一？

adidala

2018-09-11 10:30:57 +08:00

@noe132 既然我已经知道了验证码不变，就可以用程序批量跑口令字典了。你说的那个我不需要解析验证码结果，人眼看了一次后输入到程序里面就行了，反正是不变的

ooooo

2018-09-11 10:34:17 +08:00

最近一段时间,火狐浏览器上面无法登陆,点登录就跳转到主页了,是什么原因

Livid

2018-09-11 11:32:56 +08:00

@adidala 登录接口上有频次限制。触发之后就会发告警信及封 IP。

casztg

2018-09-11 11:59:10 +08:00

是的。。有 IP 封禁限制。那天不小心按了 F5 好几下········

intmax2147483647

2018-09-12 17:20:45 +08:00

@casztg 你确定是不小心←_←

zenze

2018-09-12 23:31:40 +08:00

@intmax2147483647 我上次不小心按很多次 F5 是为了看进度条变色

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.