关于某云报T00ls某登录撞库漏洞的说明
下午有元老告知某云爆出T00ls漏洞,因为无某云账号,第一时间检查代码,发现确实在尝试登录错误超过5次后没对IP进行暂停15分钟(Discuz的原有机制,在二次开发时由于没有showmessage暂时注释了)的处理。现已修复。
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
本着负责任的漏洞审批机制,这确实属于漏洞,而且漏洞发布人确实跑出两个帐号,所以还是得感谢下。
但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。
另外还是请所有人增强密码与密码提示问题的复杂性。@godfather @felixk3y 请联系我修改密码。
由于T00ls目前很多功能都是二次开发,出现漏洞在所难免,希望大家多多支持,多多反馈。
最后我要说一句:对于密码设置123456那些同志,你当T00ls是什么地方?
大家讨论下,t00ls需不需要对弱口令进行封杀?
关于作者
评论79次
修复好快、响应好快
https://www.t00ls.com/viewthread.php?tid=xxx 通过此处登录貌似还没限制
但是密码重置的地方没有限制啊!!!!!好坑 改了两次密码!
感谢提醒,已经限制了。
但是密码重置的地方没有限制啊!!!!! 好坑 改了两次密码!
响应快啊
难怪刚刚登录一直提示密码要包含字母 数字 字符 虽然之前密码并不简单 但还是改了
感觉这小伙子膨胀了
今天登陆土司突然看到密码错误,吓我一跳,赶紧把密码给改了
弱口令不封杀,还要待何时,懒也不能懒成这样吧,一个密保还弄成3389,33899,3306
顶封杀弱口令
123456 这样的密码确实太弱了,我的密码都是随机大小写加符号输入,完全没有规律我自己都记不得的。我会高速你我的密码是存TXT的么。
禁止弱口令吧。。
(但是作为发布者,也同是安全人,为什么不能第一时间给T00ls反馈呢?本身也不算什么严重漏洞,也炒作不起来。更别说楼主跑出来的也是不珍惜帐号的僵尸用户而已。) 看到这里我整个人都尴尬了 ..... 为什么人家选择的是乌云而不是T00L?我想更多的是态度吧。不忘初心方得始终。
禁止弱口令,强制密保问题。
必须封杀逗逼类密码 无条件支持,怎么实现,可以尝试登录过去原文然后对比弱口令裤 如果包含就提示或者禁止登录
我看着这特大的红色字弄得我好尴尬,需然我的密码不是123456
看我头像就明白了一切
响应很快嘛!