广州北大青鸟计算机职业培训学校
互联网技术培训、软件技术培训、大数据培训、云计算培训、数据分析培训信息网
当前位置:网站首页 > 计算机教程 > 正文

关于“找回密码”功能的暴力破解漏洞的修复的问题_惠州计算机培训

作者:黄君发布时间:2020-11-09分类:计算机教程浏览:1077


导读:前几天在广州计算机培训某论坛上看到过一篇关于找回密码功能的暴力破解的漏洞的文章

前几天在广州计算机培训某论坛上看到过一篇关于找回密码功能的暴力破解的漏洞的文章

  感觉这个漏洞是常有的,但是很少被注意到。

  不过这个漏洞危害却很大,可以找回管理员密码。

  下面看一段代码

  $rand = md5(random(0,6));

  这就是一个生成6位随机数并MD5加密后的找回密码链接

  不过这样危害却很大,因为写一个PHP脚本,就可以去探测这个密码找回链接。

  下面说一下解决方法

  1.将找回密码链接进行双重加密

  $randsalt = random(0,6);

  $rand = md5(random(0,6).$randsalt);

  这样就会将找回密码的链接进行双重加密 safe121_forgetpassword.php?safe121=1234&safe121.com=adfff

  这样即使有一个不对应也无法找回,这样可以增加破解链接的成本。

  2.把密码发送到用户的邮箱

  这个不用说了吧,直接给你链接,点击之后发送到你邮箱里,即使被破解了也没事。

  3.限制IP,例如7次错误则封IP,不过如果对方是动态ip照样也可以突破,所以推荐1和2的方法


标签:惠州计算机惠州电脑培训惠州IT培训惠州软件培训IT培训


计算机教程排行
标签列表
网站分类
文章归档
最近发表