关于某云报T00ls某登录撞库漏洞的说明
下午有元老告知某云爆出T00ls漏洞,因为无某云账号,第一时间检查代码,发现确实在尝试登录错误超过5次后没对IP进行暂停15分钟(Discuz的原有机制,在二次开发时由于没有showmessage暂时注释了)的处理。现已修复。
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
关于作者
评论79次
这样的账号delelte掉好了,僵尸
弱口令无处不在啊。
有些人 就爱装逼 。包括某宇公司
没必要把 不珍惜帐号的人 直接out
看来我的不是弱口令,因为官方公告都没说111111 决定淡定飘过
我感觉可以一次警告,二次直接封杀
根本就没必要禁止弱口令。真的。 试想,他自己本身就是搞安全或者说反安全,自己都没有这个意思,为什么T00LS要教他做人? 为什么??? 如果T00LS 这么好心,那么管理员你给我刷点TCV , TuBi好不好呢?反正T00LS都这么好心对不对? 还有 现在t00ls只是前端验证,我刚才登录的时候就看到提示框 就纳闷了。。。。然后去掉JS 果真就进来了。我的密码不是弱密码 只是全字母而已。
我能问一下吗? 我特别特别不解。。。 弱密码跑出了可以理解,,,没有安全问题也能登录?????真心不解啊。。。就算是社工。。一般的社工库网站 也不提供安全问题答案相关的信息啊。!!!
对于密码设置弱口令那些同志,你当T00ls是什么地方?
一二三四五六也是够懒得 建议直接封号
来t00ls的竟然还用弱密码?
觉得还是不要把,弱口令是有些没安全意识的人有这种xi惯了
对于密码设置123456那些同志,你当T00ls是什么地方?
速度点个赞。
对于密码设置123456那些同志,你当T00ls是什么地方?
禁止弱口令,不然有被撞裤了的,,,号又变。。。
我去,吐司的论坛还有密码是123456的,估计账号也不怎么用!
其实让所有人把那个安全问题设置了就好了
好吧,这下改完我自己也记不住自己的密码了,太复杂了
虽然我的密码已经够复杂,还是通过微信改了,好吧,微信改的密码果真够变态。。。。