監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

如何暴力破解漏洞“找回密碼”功能的修復(fù)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

前幾天在某論壇上看到過(guò)一篇關(guān)于找回密碼功能的暴力破解的漏洞

感覺(jué)這個(gè)漏洞是常有的,但是很少被注意到。
不過(guò)這個(gè)漏洞危害卻很大,可以找回管理員密碼。
下面看一段代碼

$rand = md5(random(0,6));

這就是一個(gè)生成6位隨機(jī)數(shù)并MD5加密后的找回密碼鏈接
不過(guò)這樣危害卻很大,因?yàn)閷懸粋€(gè)PHP腳本,就可以去探測(cè)這個(gè)密碼找回鏈接。
下面說(shuō)一下解決方法
1.將找回密碼鏈接進(jìn)行雙重加密

$randsalt = random(0,6);
$rand = md5(random(0,6).$randsalt);

這樣就會(huì)將找回密碼的鏈接進(jìn)行雙重加密 safe121_forgetpassword.php?safe121=1234&safe121.com=adfff
這樣即使有一個(gè)不對(duì)應(yīng)也無(wú)法找回,這樣可以增加破解鏈接的成本。
2.把密碼發(fā)送到用戶的郵箱
這個(gè)不用說(shuō)了吧,直接給你鏈接,點(diǎn)擊之后發(fā)送到你郵箱里,即使被破解了也沒(méi)事。
3.限制IP,例如7次錯(cuò)誤則封IP,不過(guò)如果對(duì)方是動(dòng)態(tài)ip照樣也可以突破,所以推薦1和2的方法
 

編輯推薦】

網(wǎng)管軟件專區(qū)

網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

網(wǎng)絡(luò)管理基礎(chǔ)知識(shí):網(wǎng)路管理模式

學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

IT運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2025-10-17 23:14    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動(dòng)態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開(kāi)發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉(cāng)庫(kù)管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營(yíng)銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開(kāi)發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開(kāi)發(fā)