監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

如何暴力破解漏洞“找回密碼”功能的修復

申請免費試用、咨詢電話:400-8352-114

前幾天在某論壇上看到過一篇關(guān)于找回密碼功能的暴力破解的漏洞

感覺這個漏洞是常有的,但是很少被注意到。
不過這個漏洞危害卻很大,可以找回管理員密碼。
下面看一段代碼

$rand = md5(random(0,6));

這就是一個生成6位隨機數(shù)并MD5加密后的找回密碼鏈接
不過這樣危害卻很大,因為寫一個PHP腳本,就可以去探測這個密碼找回鏈接。
下面說一下解決方法
1.將找回密碼鏈接進行雙重加密

$randsalt = random(0,6);
$rand = md5(random(0,6).$randsalt);

這樣就會將找回密碼的鏈接進行雙重加密 safe121_forgetpassword.php?safe121=1234&safe121.com=adfff
這樣即使有一個不對應也無法找回,這樣可以增加破解鏈接的成本。
2.把密碼發(fā)送到用戶的郵箱
這個不用說了吧,直接給你鏈接,點擊之后發(fā)送到你郵箱里,即使被破解了也沒事。
3.限制IP,例如7次錯誤則封IP,不過如果對方是動態(tài)ip照樣也可以突破,所以推薦1和2的方法
 

編輯推薦】

網(wǎng)管軟件專區(qū)

網(wǎng)絡管理者最易犯的十大低級錯誤

網(wǎng)絡管理基礎知識:網(wǎng)路管理模式

學習高效網(wǎng)絡管理技巧三招五式

IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
網(wǎng)站提醒和聲明

本文內(nèi)容來自自互聯(lián)網(wǎng)公開信息或用戶自發(fā)貢獻,該文觀點僅代表作者本人,版權(quán)歸原作者所有。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關(guān)法律責任。若發(fā)現(xiàn)侵權(quán)或違規(guī)內(nèi)容請聯(lián)系電話4008352114或郵箱442699841@qq.com,核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

發(fā)布:2026-01-15 23:17    編輯:xiaona    [打印此頁]    [關(guān)閉]

泛普重慶OA快博其他應用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)