关于某云报T00ls某登录撞库漏洞的说明

下午有元老告知某云爆出T00ls漏洞，因为无某云账号，第一时间检查代码，发现确实在尝试登录错误超过5次后没对IP进行暂停15分钟（Discuz的原有机制，在二次开发时由于没有showmessage暂时注释了）的处理。现已修复。



本着负责任的漏洞审批机制，这确实属于漏洞，而且漏洞发布人确实跑出两个帐号，所以还是得感谢下。

但是作为发布者，也同是安全人，为什么不能第一时间给T00ls反馈呢？本身也不算什么严重漏洞，也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。

另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。

由于T00ls目前很多功能都是二次开发，出现漏洞在所难免，希望大家多多支持，多多反馈。

最后我要说一句：对于密码设置123456那些同志，你当T00ls是什么地方？

大家讨论下，t00ls需不需要对弱口令进行封杀？