ppzt 发布于七月 22, 2015 分享 发布于七月 22, 2015 @gamegame123 @c0821qoo 谁帮忙召唤下saka吧 应该还是挺严重的一个漏洞 基本原理是利用低级会员不需要邮箱验证以及马甲功能可以绕开高等级id的邮箱认证 方法大致就是先注册一个低级id 然后在mj那里和大号进行关联 之后就可以直接通过马甲切换到大号 不需要任何验证 我刚刚找了台新机器尝试了一次 成功的没有验证就登入了这个号 基本证实bug存在 建议在之后增加对马甲切换的安全验证 目前马甲切换这个过程基本裸奔{:7_486:} 另外这个bug并不算难以发现 只不过目前用过马甲功能的人不多所以还没有大范围暴露问题 ps:马甲据说是特殊用户组特权 但是已经开放马甲设置权限的小号似乎也可以激活其他小号的马甲权限 于是一旦特殊用户组的任何一个马甲被盗 应该就会是个大麻烦吧 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 风荷 发表于 2015-7-22 22:45一般会员是没有马甲功能的吧... 那我小号是怎么设置主号作为mj的{:7_484:} 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 linjinhai 发表于 2015-7-22 22:49马甲只有助手版主以上才有,一般会员是没有的。 另外,因为我的马甲是新手上路,毕竟高级一下是不 ... 然而只要你有一个能够设置mj的账号 就可以串联出无数个可以设置马甲的小号即使不是管理/助手 好吧这个貌似也应该算是bug? 链接到点评
ppzt 发布于七月 22, 2015 作者 分享 发布于七月 22, 2015 linjinhai 发表于 2015-7-22 23:22第一嘛,相信管理层的不会这样子去经营,毕竟要去管理这么多小号可是很累的。 第二嘛,这次同时 ... 直接登高级id 要验证直接登低级然后切换高级 不用验证 并且之后直接登高级id似乎也不需要验证了…… 另外 重点不在于账户拥有者本人会怎么做 而在于一旦账号被盗 盗号的人可能造成什么样的问题{:7_472:} 比如说某个版主的小号不小心被盗了 最严重的问题就可能是整个论坛的邮箱认证机制就废了 因为盗号的可以通过这个小号生成很多有马甲权限可以绕过验证的小号 于是甚至待验证会员都可以通过这个途径来绕开验证登陆任意一个主号 这是非常可怕的…… 链接到点评
推荐贴
创建帐号或登入才能点评
您必须成为用户才能点评
创建帐号
在我们社区注册个新的帐号。非常简单!
注册新帐号登入
已有帐号? 登入
现在登入