紧急通知,请增加登陆验证问题!
在这里首先需要感谢笑叹兄的热心帮助,在北京时间昨天晚上和今天上午对论坛进行了安全测试,发现了几个比较严重但是DZ 不屑于修复的 bug论坛已经于昨天晚上紧急升级到了DZ X3.1 并且在笑叹兄的帮助下用自己的方式堵上了几个漏洞. ( 在这里严重鄙视一下DZ,有那么明显的漏洞竟然不屑于修复,DZ X2.5和X3.1 的版本都有此bug, 准备有时间转移到VBB )
虽然漏洞已经补上了, 并且在论坛后台做了一些安全防护措施,但是一旦在某些地方暴力一下,还是会有问题的。
因此,如果你的账号信息比较敏感,
强烈建议您:
1) 添加登陆验证问题
2) 使用分级密码
注: 仅仅是建议,漏洞我们已补上,上述做法能够更加保证你的账户的安全
如果你使用的是小号,那么就不需要在意了。
同时建议下列用户修改密码 (注: 没有发生密码泄露问题,是在做漏洞测试时候抓取到的,非数据库泄露,DZ数据库是双层HASH)
XX代表任意字符。。。
wlj782XX
zxpkXX
a777423XX
zerofXX
homemusXX
wanghaoXX
JSHZXX
fun8XX
kds5XX
wj262XX
cgbegiXX
xnq7XX
gngXX
caizhiXX
floeXX
f8866X
liwen2XX
tswcXX
feitianXX
saabXX
hgjxXX
hnbXX
wqerXX
hj1986XXX
最后再次感谢笑叹兄和大家的帮助!
Best
河小马
更新了下登陆验证:lol :lol 我很好奇我的竟然不在黑名单,我的密码那个太简单了,哈哈哈哈 小炸 发表于 2014-4-5 11:59
我很好奇我的竟然不在黑名单,我的密码那个太简单了,哈哈哈哈
做测试的时候有人登陆才会获取到 好的,为了账户安全马上修改一下 买个 IP.BOARD 也不错啊适合 中文 的论坛 dz一直有个xss没解决,当然密码是带盐的,稍微复杂点就很难破解,另外,一般用汉字做用户名也很难解开。 hnbXX是密码还是用户名?一直用lastpass,连密码是什么样都不知道:L 为什么不用phpbb 呢? 河马没穿裤子的习惯:lol:lol terranboy 发表于 2014-4-5 17:45
买个 IP.BOARD 也不错啊适合 中文 的论坛
国内有论坛使用IPB? 河小马 发表于 2014-4-6 00:12
国内有论坛使用IPB?
很少我是说样式比较接近 还是我这种一文不值的帐号省心 幸好,第一次带我去上网的人是做黑的,从我第一天上网开始,他就教我社会工程学了。哈哈哈
凡是和钱有关的密码都不一样,有时候我都记不住。 升级到新版本的好处是能有及时的安全补丁,老版本的就像XP一样,退居二线了
页:
[1]
2
