推荐.NET教程: ASP.NET C# 开发环境 Ajax教程 控件开发 统计报表 数据库 Web服务 安装部署 CommunityServer NHibernate DataGrid/GridView 实用代码 VS2005
示例源码 MVC/三层 SqlHelper 入门源码 开源 CMS Ajax/Atlas C#.net 毕业设计 源码 经典代码 商业 本站作品 持久层 随书源码 WebService 英文/汉化 Asp.net2.0

阿牛·乐园

每天进步一点点
  博客园 :: 首页 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
  80 随笔 :: 14 文章 :: 389 评论 :: 13 引用
移动的验证码安全问题告诉移动网站后......,1860意指一般人不会这样做.
  在发布"验证码的思考,你的验证码安全吗? "之前,已经给移动网站管理员发过一封信,但其没有回信.但由于我已经在上文中提到了移动网站的验证码有问题,所以还是打电话给10086,告诉其问题所在.
  今天早上,10086打来电话,重新问过"安全问题"之后,提到一句"一般人不会这样(指非法枚举提交),应该不会有问题",这句话感觉像"家里窗户没有锁,一般的人都是走门,不走窗,所以不会发生被盗"的逻辑一样......

  PS:改了错别字.
posted on 2007-03-29 09:35 阿牛 阅读(3743) 评论(29)  编辑 收藏 网摘 所属分类: ASP.netC#

评论

#1楼  2007-03-29 09:45 网址大全 [未注册用户]
锁只能防君子,不能防小人。
  回复  引用    

#2楼  2007-03-29 09:49 Cure      
这下好了,大家都知道是移动都网站有问题。
  回复  引用  查看    

#3楼  2007-03-29 09:57 henry      
应该进行一提供高用户的安全意识.
只要图和key值可以得到一样可以破这个规则,如果用户的设置够长就没那么多人愿意花这么大的成本去干这事情...
  回复  引用  查看    

#4楼  2007-03-29 10:38 aspnetx      
他们那些搞电信的出来混,说了那么多大话,早晚要还的
  回复  引用  查看    

#5楼  2007-03-29 11:55 YAO.NET℡      
移动死要面子,当然会说不会有事的.

另外你这么点字,里面错别字就好几个.

  回复  引用  查看    

#6楼  2007-03-29 13:07 Cat Chen      
客服也是人,也是中国人,在特定的体制下聚集一群中国人,就算其中一个是你,你也会那样做啦,能改变什么?!
  回复  引用  查看    

#7楼  2007-03-29 13:13 喝酒的猫      
人家移动说的很对吗?一般的人是不会这么做的,呵呵!
验证码的出现就不是为了防止一班人的,都是来预防二般人的!
  回复  引用  查看    

#8楼  2007-03-29 13:35 无聊 [未注册用户]
作者很无聊,感觉自己是不是很有面子!!!
  回复  引用    

#9楼  2007-03-29 13:37 huacn [未注册用户]
超级厉害
不过不知道他们会不会偷偷的改掉,呵呵
  回复  引用    

#10楼  2007-03-29 13:47 风之细语      
能想到要破解密码的人已经不一般了,能想到利用验证码漏洞工具的人更加不一般了……安全问题,怎么能假设呢?

还好偶转联通了,嘿嘿
  回复  引用  查看    

#11楼  2007-03-29 13:53 show [未注册用户]
带通的都是垃圾 铁通 网通 连通……
  回复  引用    

#12楼  2007-03-29 14:39 henry      
@风之细语
唉...如果认为自己的信息重要就应该把密码设置得复杂一点,自己不重视搞个什么验证码也帮不了多少.
  回复  引用  查看    

#13楼  2007-03-29 15:15 hehe [未注册用户]
移动为什么要听你的.
有本事,你让移动网站崩溃.
  回复  引用    

#14楼  2007-03-29 15:21 壁虎      
中国软件的悲哀
  回复  引用  查看    

#15楼  2007-03-29 16:19 周奔驰      
一般人不会告诉移动
  回复  引用  查看    

#16楼  2007-03-29 16:27 quickcn [未注册用户]
类似的例子太多了,在国内,一些重要的政府或商业部门根本不重视这些.
  回复  引用    

#17楼  2007-03-29 17:57 火狐 [未注册用户]
说的很对。
  回复  引用    

#18楼  2007-03-29 21:53 邹健      
改之无益
  回复  引用  查看    

#19楼  2007-03-30 08:42 亚历山大同志      
10086只是移动的一家外包公司,10086话务小姐是不懂技术的,他们只是按照规程流程在接待你,所以,打到10086去解决不了任何问题.
  回复  引用  查看    

#20楼  2007-03-30 10:06 夏老爷 [未注册用户]
只能说楼主是个淫才
  回复  引用    

#21楼  2007-03-30 13:21 Jinhua Ye [未注册用户]
哈哈!!
移动的验证码纯属虚设,图片太清楚,就用电脑OCR图片都可以识别的。

登录失败服务器端不更新验证码的漏洞偶早就利用过了,去年的时候山东移动的网站登录有问题,总是返回连接Boos接口错误的信息,需要重试n次才能登录,害得我什么都查不了,于是偶写了一个Ajax的自动登录程序,只需输入一次验证码登陆,只要再返回错误就无限循环重试,直到登录成功为止!

俺现在直接把查询手机号归属地的数据连接到移动的数据库了,移动联通所有号段均可查,估计不会有什么错误信息吧,呵呵!
手机号归属地欢迎测试:
http://kt-china.cn/spinfo/
  回复  引用    

#22楼  2007-03-30 17:45 夏老爷 [未注册用户]
Jinhua Ye 你更是个淫才
  回复  引用    

#23楼 [楼主] 2007-04-02 10:14 阿牛      
@Jinhua Ye
太强了。佩服佩服。

  回复  引用  查看    

#24楼  2007-04-06 14:23 11 [未注册用户]
作者很无聊,不知道有什么目的啊
  回复  引用    

#25楼  2007-04-11 05:31 涛仔28      
登录失败4次以后自动锁定帐号24小时,慢慢试吧
  回复  引用  查看    

#26楼 [楼主] 2007-04-11 08:41 阿牛      
@涛仔28
是锁定帐号24小时,不是锁定IP24小时
我猜有123456密码的帐号都是哪些个呢?
  回复  引用  查看    

#27楼  2007-04-11 12:38 涛仔28      
呵呵,这就不是关于验证码安全了,是关于密码强度安全了,这就不关移动事了吧
  回复  引用  查看    

#28楼 [楼主] 2007-04-11 12:49 阿牛      
@涛仔28
我猜有564287密码的帐号都是哪些个呢?,也是密码强度了?
  回复  引用  查看    

#29楼  2007-04-11 17:04 涛仔28      
哦,明白你意思了,你说的对,移动这样是不对的,不记得是不是做过IP锁定了
  回复  引用  查看    


标题  
姓名  
主页
Email (博主才能看到) 
验证码 *  看不清,换一张 [登录][注册]
内容(请不要发表任何与政治相关的内容)  
网站首页

新闻频道

社区

小组

博问

网摘

人才

找找看
  登录  使用高级评论  新用户注册  返回页首  恢复上次提交      
该文被作者在 2007-03-29 13:01 编辑过
Google站内搜索

China-pub 计算机图书网上专卖店!6.5万品种 2-8折!
近千种 9-95 新二手计算图书火热销售中!
开发者征途系统新作:《设计模式——基于C#的工程化实现及扩展》



相关文章:

相关链接:

最新IT新闻:
Python 3.0正式发布
JavaFX千呼万唤始出来
Moonlight: Linux 平台下的 Silverlight
印度软件外包企业秘密收购中国公司
华人高管陆奇出任微软互联网业务总裁