Re: [讨论] 暴力破解 ptt 任意帐号似乎成为了可能 robertabcd PTT批踢踢实业坊

Re: [讨论] 暴力破解 ptt 任意帐号似乎成为了可能

楼主: robertabcd (robert) 2020-10-22 23:15:09

抱歉, 这篇内容会跟本板稍无相关.
我想还是要来回一下这个问题已经修正了.
现在这个验证码会从 /dev/urandom 拿,
不会用 libc 的 rand 了.
补点小故事, 一开始做的时候并没有要求过 captcha,
所以当时想说这问题不大,
因为认证码只能输入 3 次,
能在 3 次内猜中 seed 的机率不高.
后来加了认证码才出现这个可以在外面先暴力算的问题.
还是感谢您的回报,
这类安全性的问题以后可以先寄信给站方,
等修复后再公开喔.

作者: ucrxzero (RX-0) 2020-10-22 23:39:00

听说这个会同步阻塞

作者: viper9709 (阿达) 2020-10-23 01:08:00

还好修正了

作者: Bencrie 2020-10-23 01:40:00

一楼你知道那个 u 就是 unblocked 吗 = =

作者: david0426 (Damn郑哥) 2020-10-23 01:57:00

推推

作者: dream1124 (全新开始) 2020-10-23 07:22:00

推

作者: TakiDog (多奇狗) 2020-10-23 08:12:00

推

作者: kloer (测试..) 2020-10-23 08:16:00

不错, 主要是这个洞影响没这么大, 帐号主人最终还是能拿回所以考量之下就懒的走标准流程了 XD

作者: TonyQ (自立而后立人。) 2020-10-23 11:46:00

辛苦了

作者: t1016d (jo4) 2020-10-23 16:44:00

推原来 ptt 能够不断线更新吗

作者: siriusu (かがみは俺の嫁。) 2020-10-23 20:10:00

推辛苦了

作者: Burwei (系馆守护神) 2020-10-23 20:39:00

推

作者: jily (吉利) 2020-10-23 22:43:00

辛苦了

作者: cocoyan (抠抠厌) 2020-10-24 02:52:00

推

继续阅读

[心得] 换工作时要注意可能会被目前公司知道fouring [征才] Onedegree 诚征资深后端(cyber-team)keke0421 [讨论] 暴力破解 ptt 任意帐号似乎成为了可能kloer [征才] DermAI征求后端工程师(70k+/3Y)wheado [请益] 转职课程选择jk593558 [请益] 填问卷抽礼券-职场研究调查GOLDNBOY [心得] LeetCode Mock Interview经验分享iverson52000 [请益] 板桥亚东爱买remoteggggggh [请益] Ajax传值到后端问题(已解决)firetim 日本工程师海外征才junlchl1219