女编辑们的弱口令....

RocChan 发布于 2014/02/19 13:38
阅读 4K+
收藏 4
PHP

事情的起因:
公司有一个网站,还有5个女编辑天天往上发资料。某天我很猥琐的修改了一下登录程序。将登录密码用明文的方式记录下来(本来是想通过社工方式看看女编辑们的QQ空间神马的...)

第二天我得到了4个密码(有一个生病请假了,算她走运)
当我打开密码明文列表时我震惊了:三个密码是6位的纯数字,还有一个稍微好点:字母a加上6位纯数字。
劳资立马就火了,尼玛我查漏洞你们丫就用这种密码,被破解了肿么办?被社工了肿么办?

于是我修改了登录方式:
每个人发一个密钥文件(其实就是一段32位长度的随机字符),字符存储在数据库里,每次登录都上传密钥文件。验证成功后变换数据库密钥,在提示下载。为了保证密钥是最新的,密钥文件名上面都会加上时间。

========= 补充一下 =========
这种方式也有安全问题,但这世上就没有不透风的裤子。由于这种登录方式用的比较少,所以万一哪个女编辑电脑中毒了,程序化的后门还不至于把密钥上传。

加载中
0
伊藤熊吉
伊藤熊吉
你们编辑不会向上级反映很麻烦么
嗜睡流沙
嗜睡流沙
点赞
RocChan
RocChan
我就是他们上级......
0
修改登录密码
修改登录密码

奇葩码农+女编辑

结论: 永远不要用qq密码作为工作密码

那天早上
那天早上
一个程序员与女编辑.avi
纠结名字_我艹你妹
纠结名字_我艹你妹
少见多怪,整个中国99%的网站都记录明文密码的
0
beyondforever68
beyondforever68

引用来自“eel”的答案

奇葩码农+女编辑
0
把妹达人老张
把妹达人老张
奇葩码农+女编辑,.avi
wei2011
wei2011
人才...哈哈
atearsan
atearsan
你这事直接复制楼上的丫
0
回去干活
回去干活

上ukey.加一层特殊的加密.

zzy_zzy
zzy_zzy
回复 @RocChan : 黑的漂亮。。。我也觉得凡是跟钱没关系的事情跟我都没关系
RocChan
RocChan
那得花钱买UKey的,要是惊动了Boss,我这月的奖金就危险了。安全事小,奖金事大!!!
0
Rhys
Rhys
我与公司五个女编辑的故事.avi
lazeyliu
lazeyliu
亮了,标题党
一剑倾城
一剑倾城
要无码的!
RocChan
RocChan
码农也是有节操的!
玟质兵兵
玟质兵兵
这个可以有
0
atearsan
atearsan

女编辑那么弱,那你让她们修改密码,密码验证的时候麻烦点:字母大小写 + 数字 + 特殊字符。简单点,直接添加js验证规则,后台都不改了……

三个月强制修改一次密码。

苗哥
苗哥
同意楼上的观点...
0
dreamhack
dreamhack
私は会社側との五女編集者の話だ.rmvb
无闻
无闻
叼炸天0 0
0
Zeroes
Zeroes
我与公司五个女编辑的不可说的秘密.AVI 大小 10G
RocChan
RocChan
公司内网有两台Dell T420服务器,问题不大
首祚
首祚
时间长了,产生10G的密钥文件
0
最终幻想007
最终幻想007
奇葩码农+女编辑之AV.avi
返回顶部
顶部