V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3848 days ago, the information mentioned may be changed or developed.
很多人在密码出错的时候,会尝试自己的其他密码、用户名组合,如果捕捉了每一次的尝试,那就很大可能掌握了改提交用户的所有关键密码。
 |
1
NeverBehave Oct 17, 2015
表示我这种经常多个密码试的人很担心 QWQ 。但是已知只有后台 admin 登录的时候错误会有日志(见过一社工就是用这个方法猜的,因为拿不到 webshell 却看到了错误密码日志的数据库,于是成功进入后台)
|
 |
2
7z7 Oct 17, 2015
大公司估计也会存储,只是没让你知道罢了.
|
 |
3
qinxi Oct 17, 2015
醍醐灌顶
|
 |
4
timsims Oct 17, 2015
如果那些公司真的有心想获取你密码的话就直接明文储存了(或者不明文但可逆),反正大部分人都是一套账号密码
|
 |
5
virusdefender Oct 17, 2015
我知道的几个公司至少会记录每天错误的次数,具体内容就不知道记不记录了。。
|
 |
6
luoway Oct 17, 2015 via Android
这个我在 DZ 论坛后台上看见了。 DZ 捕获了错误提交并明文显示。
|
 |
7
aivier Oct 17, 2015
很多地方都会这样做,但是如果用户是在用户名上多按了个空格,密码后面多按了个逗号呢?
个人感觉以不记录的方式做大数据分析来避免被爆破并提醒用户修改是好事,但是明文记录就有点过分了 |
 |
12
siteshen Oct 17, 2015
所以我厂现在的 app 都抛弃了密码登录的方案,包括后台管理界面,直接手机号+验证码登录。
|
 |
13
pythonee Oct 18, 2015
我也想到过这个问题
|
Select Language