已經投到烏雲上去了,貌似沒通過審核,哈哈,發出來娛樂下,一個小BUG而已
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
呵呵,單位組織博餅大賽,為了熟悉博餅規則,搜了搜網上的在線博餅活動,胡亂點進去一個,是福建煙草網組織的中秋博餅大賽
貌似獎品還不錯,呵呵,3000元的現金大獎,玩了幾把,感覺要拿獎實在是太難了!
無所事事,習慣性的檢測起網站來,隨便逛了逛,沒幾個頁面,留言板貌似過濾的也不是很嚴格,懶得去花力氣耍了,不過發現留言板的留言用戶名貌似和註冊活動的用戶名是一致的,hoho~~
轉到登陸頁面去,拿幾個用戶名去試登陸下
呵呵,報密碼不對~
不過發現網站存在問題了,頁面設計存在明顯缺陷,既無驗證碼保護,又無登陸ID或者登陸IP限制,導致可無限制猜試密碼~~
拿了一個表單提交修改工具,隨便拿了一個弱口令字典,一下子進去好幾個,呵呵有的積分貌似不少~
還泄露了註冊用戶的身份信息,哎,把信息安全交給網站實在是不放心
留言板上給網站管理員留個言:貴網站存在安全風險,建議加強代碼設計
希望能引起站點的注意!~
本文出自 「暖月無痕」 博客,請務必保留此出處http://hurri.blog.51cto.com/355432/1009372
[火星人 ] 破解,福建煙草網,博餅,設計缺陷,猜試密碼已經有418次圍觀