ppzt 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 @gamegame123 @c0821qoo 谁帮忙召唤下saka吧 应该还是挺严重的一个漏洞 基本原理是利用低级会员不需要邮箱验证以及马甲功能可以绕开高等级id的邮箱认证 方法大致就是先注册一个低级id 然后在mj那里和大号进行关联 之后就可以直接通过马甲切换到大号 不需要任何验证 我刚刚找了台新机器尝试了一次 成功的没有验证就登入了这个号 基本证实bug存在 建议在之后增加对马甲切换的安全验证 目前马甲切换这个过程基本裸奔{:7_486:} 另外这个bug并不算难以发现 只不过目前用过马甲功能的人不多所以还没有大范围暴露问题 ps:马甲据说是特殊用户组特权 但是已经开放马甲设置权限的小号似乎也可以激活其他小号的马甲权限 于是一旦特殊用户组的任何一个马甲被盗 应该就会是个大麻烦吧 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 · 只看该作者 风荷 发表于 2015-7-22 22:45一般会员是没有马甲功能的吧... 那我小号是怎么设置主号作为mj的{:7_484:} 链接到点评
箜茗潇 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 然而 “先注册一个低级id”是没办法关联马甲的,首先要大号把小号设置成马甲才行吧,,,,, 不过 确实是个问题。 链接到点评
linjinhai 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 {:7_517:}马甲只有助手版主以上才有,一般会员是没有的。 另外,因为我的马甲是新手上路,毕竟高级一下是不用验证的,所以不排除是这个影响吧 链接到点评
风荷 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 ppzt 发表于 2015-7-22 22:47那我小号是怎么设置主号作为mj的 {:7_492:}纳尼,我已经OUT了吗我怎么记得我直到做了版主才发现有马甲功能的... 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 · 只看该作者 linjinhai 发表于 2015-7-22 22:49马甲只有助手版主以上才有,一般会员是没有的。 另外,因为我的马甲是新手上路,毕竟高级一下是不 ... 然而只要你有一个能够设置mj的账号 就可以串联出无数个可以设置马甲的小号即使不是管理/助手 好吧这个貌似也应该算是bug? 链接到点评
linjinhai 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 ppzt 发表于 2015-7-22 23:00然而只要你有一个能够设置mj的账号 就可以串联出无数个可以设置马甲的小号 即使不是管理/助手 好吧这个貌似 ... {:7_517:}第一嘛,相信管理层的不会这样子去经营,毕竟要去管理这么多小号可是很累的。 第二嘛,这次同时有高级马甲的并没有说不用验证啊,我的是低级的才不用,那么高级的要验证吗? 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 · 只看该作者 linjinhai 发表于 2015-7-22 23:22第一嘛,相信管理层的不会这样子去经营,毕竟要去管理这么多小号可是很累的。 第二嘛,这次同时 ... 直接登高级id 要验证直接登低级然后切换高级 不用验证 并且之后直接登高级id似乎也不需要验证了…… 另外 重点不在于账户拥有者本人会怎么做 而在于一旦账号被盗 盗号的人可能造成什么样的问题{:7_472:} 比如说某个版主的小号不小心被盗了 最严重的问题就可能是整个论坛的邮箱认证机制就废了 因为盗号的可以通过这个小号生成很多有马甲权限可以绕过验证的小号 于是甚至待验证会员都可以通过这个途径来绕开验证登陆任意一个主号 这是非常可怕的…… 链接到点评
游戏游戏一二三 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 ppzt 发表于 2015-7-22 23:31直接登高级id 要验证 直接登低级然后切换高级 不用验证 并且之后直接登高级id似乎也不需要验证了…… {:5_202:}其实你说的问题之前我也考虑过的,觉得问题不大也就没太上心。 然而被你说的一个难得偷懒的方式都被断了www 链接到点评
用钢笔的人 发布于七月 22, 2015 分享 发布于七月 22, 2015 · 只看该作者 个人建议这个问题还是防患于未然好。 虽然事发后的辨别与清除不是问题,但是无法保证不会造成什么破坏…… 链接到点评
推荐贴
创建帐号或登入才能点评
您必须成为用户才能点评
创建帐号
在我们社区注册个新的帐号。非常简单!
注册新帐号登入
已有帐号? 登入
现在登入