成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼
如何暴力破解漏洞“找回密码”功能的修复
前几天在某论坛上看到过一篇关于找回密码功能的暴力破解的漏洞
感觉这个漏洞是常有的,但是很少被注意到。
不过这个漏洞危害却很大,可以找回管理员密码。
下面看一段代码
$rand = md5(random(0,6));
这就是一个生成6位随机数并MD5加密后的找回密码链接
不过这样危害却很大,因为写一个PHP脚本,就可以去探测这个密码找回链接。
下面说一下解决方法
1.将找回密码链接进行双重加密
$randsalt = random(0,6);
$rand = md5(random(0,6).$randsalt);
这样就会将找回密码的链接进行双重加密 safe121_forgetpassword.php?safe121=1234&safe121.com=adfff
这样即使有一个不对应也无法找回,这样可以增加破解链接的成本。
2.把密码发送到用户的邮箱
这个不用说了吧,直接给你链接,点击之后发送到你邮箱里,即使被破解了也没事。
3.限制IP,例如7次错误则封IP,不过如果对方是动态ip照样也可以突破,所以推荐1和2的方法
【编辑推荐】
◆网管软件专区
◆网络管理者最易犯的十大低级错误
◆网络管理基础知识:网路管理模式
◆学习高效网络管理技巧三招五式
◆IT运维管理专区
本站推荐
相关推荐
-
讲解破解无线网络密码的详细步骤2025-10-17 23:05:56
-
借助软件轻松破解无线网络密码的技巧2025-10-17 23:05:54
-
运行airodump工具破解路由器密码捕获数据包
2025-10-17 23:05:53
-
网络管理员如何利用快照管理存储空间2025-10-17 23:02:54
-
如何让数据库迁移更安全风险更低2025-10-17 22:59:55
-
如何通过IIS可视化监控提升网络性能2025-10-17 22:59:53
最新文章
-
分布式网络管理技术的优势特点详解2025-10-17 23:15:01
-
破解wifi无线网接入密码过程
2025-10-17 23:15:00
-
建设设备管理专用数据库的重要性
2025-10-17 23:14:59
-
详解网络管理技术的分类及模式
2025-10-17 23:14:58
-
破解密码时抓不到HASH的解决办法
2025-10-17 23:14:57
-
操作系统安装能全自动化进行的方法
2025-10-17 23:14:56