監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉
重慶OA快博

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA快博

如何暴力破解漏洞“找回密碼”功能的修復(fù)

申請免費(fèi)試用、咨詢電話:400-8352-114

前幾天在某論壇上看到過一篇關(guān)于找回密碼功能的暴力破解的漏洞

感覺這個漏洞是常有的,但是很少被注意到。
不過這個漏洞危害卻很大,可以找回管理員密碼。
下面看一段代碼

$rand = md5(random(0,6));

這就是一個生成6位隨機(jī)數(shù)并MD5加密后的找回密碼鏈接
不過這樣危害卻很大,因?yàn)閷懸粋€PHP腳本,就可以去探測這個密碼找回鏈接。
下面說一下解決方法
1.將找回密碼鏈接進(jìn)行雙重加密

$randsalt = random(0,6);
$rand = md5(random(0,6).$randsalt);

這樣就會將找回密碼的鏈接進(jìn)行雙重加密 safe121_forgetpassword.php?safe121=1234&safe121.com=adfff
這樣即使有一個不對應(yīng)也無法找回,這樣可以增加破解鏈接的成本。
2.把密碼發(fā)送到用戶的郵箱
這個不用說了吧,直接給你鏈接,點(diǎn)擊之后發(fā)送到你郵箱里,即使被破解了也沒事。
3.限制IP,例如7次錯誤則封IP,不過如果對方是動態(tài)ip照樣也可以突破,所以推薦1和2的方法
 

編輯推薦】

網(wǎng)管軟件專區(qū)

網(wǎng)絡(luò)管理者最易犯的十大低級錯誤

網(wǎng)絡(luò)管理基礎(chǔ)知識:網(wǎng)路管理模式

學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

IT運(yùn)維管理專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:45    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)