关于LB论坛的一个BUG的探讨

( 作者:mikespook | 发布日期:2003-12-8 | 浏览次数:406 )

关键字:漏洞,论坛,LB
  现在网上用雷傲论坛的人很多。大家普遍觉得雷傲论坛用起来比较方便,而且插件也很多。不过,老一点的玩家都知道,这个论坛的漏洞也特别多。
  我对CGI没有兴趣,对论坛权限更没有兴趣。我这里要说的是作为一个程序编写者应该注意的地方。
  
关于BUG

  我不知道这个BUG是否有人注意过。今天我在写程序的时候在S8S8论坛(使用雷傲论坛程序)看脚本突然想起来的。在回帖的时候如果你是登陆用户,那“在快速回复主题: ”的地方有“输入用户名和密码:”。这里明白显示着你的用户名和密码。当然了,密码是“****”。这是BUG么?现在,你打开页面的源文件。并搜索“name="password"”。你会找到一处如“<input type=password name="password" value="123456" οnmοuseοver=this.focus() οnfοcus=this.select()>”。这是什么?这就是那个密码框,而密码就明白的显示在value里“value="123456"”。好了,我们再来看看我们如何得到别人的密码与用户名。在IE缓冲文件夹中搜索“S8S8”会出来很多名如“topic[1]”、“topic[2]”这样的文件。用记事本打开,搜索“name="membername"”找到value中的用户名,再搜索“name="password"”找到value中的密码。(其实这里不用搜两次,只不过为了说明方便。)好了,你就可以冒名顶替,肆意捣乱了。这个方法,不论你时候退出登陆。只要你登陆,那么你访问过的页面就会缓存于IE缓冲文件夹中。除非你清理缓冲文件夹,否则用户名与密码暴露无疑!有几个朋友在网吧上完了网记得清空缓冲文件夹呢?

探讨

  我不理解雷傲论坛在那里设置用户名和密码是何用意。我没有阅读过完整的雷傲的代码。不过我的感觉是多此一举。我阅读过很多国外PHP论坛和ASP论坛代码。并没有见有论坛将用户名和密码如此大方的放在页面上让别人瞻仰。
  再比如登陆时候的验证码。验证码只是放着好看,让大家感觉安全些的东西。真要想破,用户的密码哪用那么麻烦?我这方法,你甚至连网都不用上。只要看看缓冲文件夹就搞掂了。

总结

  其实,这个BUG并不是只有雷傲论坛才有。很多程序都有这个东西。(特别是国产程序,说不清楚谁抄谁了。)个人以为,作为程序员还是应该弄些实际的东西。对于华而不实的玩意,玩玩就好,切不可当做宝贝。否则画蛇添足,反而出了漏子。

关于LB论坛的一个BUG的探讨相关推荐

  1. 微软BI 之SSIS 系列 - MVP 们也不解的 Scrip Task 脚本任务中的一个 Bug

    开篇介绍 前些天自己在整理 SSIS 2012 资料的时候发现了一个功能设计上的疑似Bug,在 Script Task 中是可以给只读列表中的变量赋值.我记得以前在 2008 的版本中为了弄明白这个配 ...

  2. ios 自己创建的动态frameworks 怎么发布_苹果 iOS 14 修复 2 年来的一个bug 果粉炸锅:原来不是自己手残...

    (给iOS大全加星标,关注iOS动态) 转自:快科技 近日苹果推出了iOS 14.2.9正式版,修复了不少bug,其中有一个很小的问题从iOS 13时就困扰不少果粉了,大家当时都以为是自己手残导致输错 ...

  3. 真赔麻了!!一个BUG和一个回帖直接赔了20万!

    往期热门文章: 1.聊聊Spring中最常用的11个扩展点 2.Java内部类有坑,100%内存泄露! 3.分库分表后,如何保证数据一致性? 4.JDK 19 / Java 19 正式发布,虚拟线程来 ...

  4. IT 冷知识:全球第一个“Bug”被发现

    "一切历史都是当代史."意大利哲学家.史学家克罗齐如是说.历史从未远去,而是随着时间的流逝,越来越鲜活. 过去存在于现在,现在存在于未来."0"与"1 ...

  5. 001-你在测试中发现了一个 bug ,但是开发经理认为这不是一个 bug ,你应该怎样解决...

    你在测试中发现了一个  bug ,但是开发经理认为这不是一个  bug ,你应该怎样解决 1.将问题提交到缺陷管理库里面进行备案. 2.要获取判断的依据和标准: 根据需求说明书.产品说明.设计文档等, ...

  6. 软件测试培训分享:做软件测试工作如何清楚的描述一个bug

    一名合格的软件测试工程师是需要清楚的交代自己的工作任务的,必须要清楚的告诉技术员出现的bug,那么做软件测试工作如何清楚的描述一个bug呢?来看看下面的详细介绍. 软件测试培训分享:做软件测试工作如何 ...

  7. EnterLib PIAB又一个BUG?

    在<这是EnterLib PIAB的BUG吗?>一文中我们讨论了PIAB关于抽象基类的BUG,今天又发现了一个新的问题.问题的起因源于<IoC+AOP的简单实现>这篇文章,因为 ...

  8. 一个Bug能有多大影响:亏损30亿、致6人死亡、甚至差点毁灭世界...

    欢迎关注方志朋的博客,回复"666"获面试宝典 作者:博雯   来源:量子位(QbitAI) 一个Bug就地蒸发5亿美元: 软件设计层面出Bug致6人死亡: DeBug不成功直接世 ...

  9. 从一个Bug开始,重新认识一个强大的 Gson

    点击上方"方志朋",选择"置顶公众号" 技术文章第一时间送达! 作者:Mafly, 地址:www.cnblogs.com/mafly/p/gson.html 从 ...

最新文章

  1. centos安装easy_instal
  2. 系统集成项目管理工程师-项目人力资源管理笔记
  3. 16位模式/32位模式下PUSH指令探究——《x86汇编语言:从实模式到保护模式》读书笔记16...
  4. MATLAB信号处理工具箱函数列表分类
  5. Django01-1: request 方法
  6. P3346-[ZJOI2015]诸神眷顾的幻想乡【广义SAM】
  7. 过去式加ed的发音_【思语小课堂】时态二三事:规则动词过去式的发音规则
  8. RabbitMQ环境搭建教程收集(待实践)
  9. hibernate 基础方法(一)及Hibernate中java对象的三种状态
  10. 从人工到自动,泛微云上自动化部署实践
  11. 大气压力换算公式_大气压强计算方法
  12. Android MediaRecorder录制视频
  13. 解决KEIL MDK编译生成Bin文件时,却生成了*bin文件夹
  14. 74HC165应用介绍
  15. 电子版产品手册如何制作?简单的方法来了
  16. Xshell的Sessions存放目录
  17. 带你理解beta分布
  18. 使用echarts插件时,发现y值相同,但不是同一条直线,解决方法
  19. 面试直播,真刀真枪的干一场!实战派VS学术派
  20. 【安装与配置 三】C#后端开发常用工具

热门文章

  1. 笔记-项目进度管理-估算活动顺序-依赖关系
  2. MobileIMSDK怎样将Java服务端运行起来以及打成jar包运行
  3. Springboot+Maven在IDEA中配置好Maven后执行Reimport时提示:com.google.inject.internal.Errors.throwCreationExceptio
  4. Nginx入门教程-简介、安装、反向代理、负载均衡、动静分离使用实例
  5. SqlServer 2014还原数据库时提示:无法在已有的上还原文件,请重新发出RESTORE语句,用WITH REPLACE来覆盖原先存在的文件
  6. Python中range对象的使用以及打印九九乘法表
  7. 企业架构(五)——联邦企业架构(FEA)实施指南
  8. IT项目管理总结:第四章 项目综合管理
  9. 应用营销策略知多少?
  10. 2 原生Zookeeper 实现分布式锁