风雨十年,感恩同行
查看: 3370|回复: 19

可惜了,“通达2010注册and用户密码找回”存在重大安全问题,已修正,大家尽快更新

[复制链接]

该用户从未签到

发表于 2011-11-4 14:37:47 | 显示全部楼层 |阅读模式
本帖最后由 azzxs 于 2011-11-9 17:08 编辑

大家不要紧张,虽然存在重大安全问题,但是相信版版会想到解决办法的!

问题出现:我仅测试手机短信找回密码功能

1、通过手机短信找回密码,按部就班填写内容。
2、在下面这么页面,大家注意了——————

注意 验证码已经发到你手机,请填在下面,勿关闭本页;
.
查询后填写手机验证码 :



3、在这个页面,点击右键查看源代码。可以明显看到下面的语句——————
      查询后填写手机验证码 :<div class="user"><input type="text" class="text" name="PASS3" maxlength="25" value="" /></div>
<div class="user"><input type="hidden" class="text" name="PASS1" maxlength="20" value="370565" /></div>

4、注意了,带色部分就是你的手机验证码,填进去就能修改密码了。

童靴们,暂时关闭手机短信找回密码功能吧。其它我暂未测试,但仍感觉会存在和上述一样的问题!


以前啥都不懂,现在懂一点了,这个是针对找回密码美化版》修正!已经修改2个版本,先发一个,把文件改名为repass,然后直接覆盖掉原来的webroot\repass文件夹即可。
1.修正上面说的跳过验证码隐患。
2.修正了注册没传递手机号。
3.增加了找回用户名功能。

                    azzxs         2011.11.08
无安全隐患session版 repass.rar (42.75 KB, 下载次数: 1101)

评分

参与人数 1麦币 +10 收起 理由
上兵伐谋 + 10 很给力!

查看全部评分


相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-4 23:31:42 | 显示全部楼层
我当时写时候,才刚刚接触php,啥都不懂,的确存在这个严重安全漏洞,刚刚已经重新写了,改用写入数据库。改天发布。

评分

参与人数 1麦币 +10 收起 理由
上兵伐谋 + 10 赞一个!

查看全部评分

相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-5 07:46:57 | 显示全部楼层
azzxs的精神和勇气很值得大家尊敬!!!支持azzxs。
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-5 10:17:01 | 显示全部楼层
确实,通达不会这么不小心吧:(验证码应该在后台发回去验证呀;(
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

 楼主| 发表于 2011-11-5 23:33:30 | 显示全部楼层
小问题,不算啥,希望尽快见到老大的新版本,呵呵
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-6 21:46:36 | 显示全部楼层
感谢pconline对网友负责的精神,希望见到你的新作
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-7 08:19:37 | 显示全部楼层
可以使用cookies 来 进行存储数据
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-9 09:35:53 | 显示全部楼层
现在懂一点了,这个是针对《找回密码美化版》修正!已经修改2个版本,先发一个,把文件改名为repass,然后直接覆盖掉webroot\repass文件夹即可。
1.修正上面说的跳过验证码隐患。
2.修正了注册没传递手机号。
3.增加了找回用户名功能。
                    azzxs         2011.11.08

相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

 楼主| 发表于 2011-11-9 18:58:39 | 显示全部楼层
azzxs 发表于 2011-11-9 09:35
现在懂一点了,这个是针对《找回密码美化版》修正!已经修改2个版本,先发一个,把文件改名为repass,然后直 ...

新补丁已经测试,没有问题。但是有个疑问,为什么不通过手机短信功能直接发送新密码,而是要发送验证码之后再生成新密码呢?

点评

防止人家知道你手机号,乱改你的密码!  详情 回复 发表于 2011-11-9 19:02
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-9 19:02:09 | 显示全部楼层
pconline 发表于 2011-11-9 18:58
新补丁已经测试,没有问题。但是有个疑问,为什么不通过手机短信功能直接发送新密码,而是要发送验证码之 ...

防止人家知道你手机号,乱改你的密码!
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-9 19:55:46 | 显示全部楼层
azzxs 发表于 2011-11-9 19:02
防止人家知道你手机号,乱改你的密码!

pconline的意思应该是直接发送密码到手机上。

建议加限制例如一个号码一天只能发送几次。
否则别人乱搞。不烦死了!呵呵!

点评

发验证码到手机的时候,还没有更改系统密码,这样即使他知道你的手机号,得不到验证码,也不能改你系统密码!手机短信回记录当时的ip地址,如果是内网的话,你自己查那个搞鬼。 如果直接发密码到手机只有一层验证  详情 回复 发表于 2011-11-9 20:19
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-9 20:19:39 | 显示全部楼层
ms41 发表于 2011-11-9 19:55
pconline的意思应该是直接发送密码到手机上。

建议加限制例如一个号码一天只能发送几次。

发验证码到手机的时候,还没有更改系统密码,这样即使他知道你的手机号,得不到验证码,也不能改你系统密码!手机短信回记录当时的ip地址,如果是内网的话,你自己查那个搞鬼。

如果直接发密码到手机只有一层验证,虽然他得不到密码,但是系统已经改密码了,会给你带来麻烦。

限制一天发几次,有空再加上。
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-10 11:00:12 | 显示全部楼层
找回密码插件,增加限制手机短信发送次数
防止而已骚扰,节省短信费用
改天发布,已经改好

手机短信.jpg
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-10 13:23:32 | 显示全部楼层
很实用。谢谢
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289

该用户从未签到

发表于 2011-11-10 13:26:50 | 显示全部楼层
问下支持2010. 支持2011吗?
相关技术服务需求,请联系管理员和客服QQ:2753533861或QQ:619920289
您需要登录后才可以回帖 登录 | 用户注册

本版积分规则

帖子推荐:
客服咨询

QQ:2753533861

服务时间 9:00-22:00

金蝶用友易助管家婆深度服务
快速回复 返回顶部 返回列表