转跳到内容

目前论坛验证的一个bug


ppzt

推荐贴

 

 

@gamegame123 @c0821qoo

谁帮忙召唤下saka吧 应该还是挺严重的一个漏洞

 

基本原理是利用低级会员不需要邮箱验证以及马甲功能可以绕开高等级id的邮箱认证

方法大致就是先注册一个低级id 然后在mj那里和大号进行关联

之后就可以直接通过马甲切换到大号 不需要任何验证

 

我刚刚找了台新机器尝试了一次 成功的没有验证就登入了这个号

基本证实bug存在 建议在之后增加对马甲切换的安全验证 目前马甲切换这个过程基本裸奔{:7_486:}

 

另外这个bug并不算难以发现 只不过目前用过马甲功能的人不多所以还没有大范围暴露问题

 

ps:马甲据说是特殊用户组特权 但是已经开放马甲设置权限的小号似乎也可以激活其他小号的马甲权限

于是一旦特殊用户组的任何一个马甲被盗 应该就会是个大麻烦吧

链接到点评
linjinhai 发表于 2015-7-22 22:49

马甲只有助手版主以上才有,一般会员是没有的。

另外,因为我的马甲是新手上路,毕竟高级一下是不 ...

然而只要你有一个能够设置mj的账号 就可以串联出无数个可以设置马甲的小号

即使不是管理/助手 好吧这个貌似也应该算是bug?

链接到点评
ppzt 发表于 2015-7-22 23:00

然而只要你有一个能够设置mj的账号 就可以串联出无数个可以设置马甲的小号

即使不是管理/助手 好吧这个貌似 ...

{:7_517:}

第一嘛,相信管理层的不会这样子去经营,毕竟要去管理这么多小号可是很累的。

第二嘛,这次同时有高级马甲的并没有说不用验证啊,我的是低级的才不用,那么高级的要验证吗?

链接到点评
linjinhai 发表于 2015-7-22 23:22

第一嘛,相信管理层的不会这样子去经营,毕竟要去管理这么多小号可是很累的。

第二嘛,这次同时 ...

直接登高级id 要验证

直接登低级然后切换高级 不用验证 并且之后直接登高级id似乎也不需要验证了……

 

另外 重点不在于账户拥有者本人会怎么做

而在于一旦账号被盗 盗号的人可能造成什么样的问题{:7_472:}

比如说某个版主的小号不小心被盗了 最严重的问题就可能是整个论坛的邮箱认证机制就废了

因为盗号的可以通过这个小号生成很多有马甲权限可以绕过验证的小号

于是甚至待验证会员都可以通过这个途径来绕开验证登陆任意一个主号

这是非常可怕的……

链接到点评

创建帐号或登入才能点评

您必须成为用户才能点评

创建帐号

在我们社区注册个新的帐号。非常简单!

注册新帐号

登入

已有帐号? 登入

现在登入
×
×
  • 新建...

重要消息

为使您更好地使用该站点,请仔细阅读以下内容: 使用条款