c*********k
发帖数: 4747 | 1 【 以下文字转载自 sysop 讨论区 】
发信人: controlitok (粗鄙无文的工科生), 信区: sysop
标 题: term下新验证码的分析...
发信站: BBS 未名空间站 (Thu Jul 29 11:40:51 2010, 美东)
原理:
term登录之后才issue一个网址,对应更新数据库下的以下信息
u(用户名) ckd(随机码) key(验证码)
任何人都可以构造出一个验证码生产网址,随便一个ckd
http://www.mitbbs.com/img_rand/img_rand.php?c=t&u=controlitok&ckd=e2f15c
但是,triger生成这个验证码时,数据库中的ckd没更新,所以key也没更新.
而ckd的更新是要由term下登录之后才随验证码生成时更新,所以没有登录是无法更新
ckd的.
这样子,只要没有办法更新ckd,就无法阻止别人用户登录....
也就是说,如果能生成ckd的话,就能阻止别人登录.
可是这个ckd是怎么生成的呢?????
想到哪写哪.. |
|
