Re: [討論] 暴力破解 ptt 任意帳號似乎成為了可能

作者robertabcd (robert)

看板Soft_Job

標題Re: [討論] 暴力破解 ptt 任意帳號似乎成為了可能

時間Thu Oct 22 23:15:09 2020

抱歉, 這篇內容會跟本板稍無相關. 我想還是要來回一下這個問題已經修正了. 現在這個驗證碼會從 /dev/urandom 拿, 不會用 libc 的 rand 了. 補點小故事, 一開始做的時候並沒有要求過 captcha, 所以當時想說這問題不大, 因為認證碼只能輸入 3 次, 能在 3 次內猜中 seed 的機率不高. 後來加了認證碼才出現這個可以在外面先暴力算的問題. 還是感謝您的回報, 這類安全性的問題以後可以先寄信給站方, 等修復後再公開喔. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.172.15 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1603379711.A.B11.html

推 ucrxzero: 聽說這個會同步阻塞 10/22 23:39

推 viper9709: 還好修正了 10/23 01:08

推 Bencrie: 一樓你知道那個 u 就是 unblocked 嗎 = = 10/23 01:40

推 david0426: 推推 10/23 01:57

推 dream1124: 推 10/23 07:22

推 TakiDog: 推 10/23 08:12

推 kloer: 不錯, 主要是這個洞影響沒這麼大, 帳號主人最終還是能拿回 10/23 08:16

→ kloer: 所以考量之下就懶的走標準流程了 XD 10/23 08:17

推 TonyQ: 辛苦了 10/23 11:46

推 t1016d: 推原來 ptt 能夠不斷線更新嗎 10/23 16:44

推 siriusu: 推辛苦了 10/23 20:10

推 Burwei: 推 10/23 20:39

推 jily: 辛苦了 10/23 22:43

推 cocoyan: 推 10/24 02:52