关于某云报T00ls某登录撞库漏洞的说明
下午有元老告知某云爆出T00ls漏洞,因为无某云账号,第一时间检查代码,发现确实在尝试登录错误超过5次后没对IP进行暂停15分钟(Discuz的原有机制,在二次开发时由于没有showmessage暂时注释了)的处理。现已修复。
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
关于作者
评论79次
密码要复杂点方安全
很惭愧啊,作为安全人士,我用的也是较弱密码。对了,之前不是论坛要求强制改过一次吗?害得我登不上了,跑微信去强化了一次密码才登上
我的密码都是吐司的微信公众号修改密码时随机生成的,每次输入密码都要低着头敲2分钟密码
因为太多密码难记,t00ls又没办法保证不被脱。。。。。。
弱密码可以封杀 毕竟影响咱们网站的安全啊 可是适当的第一次警告第二次封杀
一次警告,二次封杀
哎,也是醉了! 竟然123456
我说怎么提示密码强度不够那 虽然我的都是字母 但是也撞不出来哦
为什么要修改密码呢,在t00ls混的基本没几个安全意识这么差的吧。丢了就丢了被,自己不珍惜号怪谁
123456。。。醉了,,此人不是逗逼就是傻逼了。
哎~ -_-!!!
今天登陆发现提示让修改密码。。真是一波三折
强制性的密码策略。查出所有弱口令的用户,通知整改
强烈建议弱口令删除账号
弱口令简直就是不珍惜自己的账号……封了也罢……
强制设置安全回答,限制口令的策略啊
幸好我的密码不是123456
玩安全的人,居然有123456,我也是醉了
123456 太狠了..
弱口令的直接删除吧