《色中色》论坛“忘记密码”功能的一个《重大漏洞》!
特意用搜索功能查了一下,确认大家没有发现或提出和本帖相似问题的帖子后才敢发啊!因为色中色的版规那是出了名的严格啊!不过密码安全方面就不行了。
当你登陆时忘记密码了,可以点旁边”忘记密码“,然后系统要求你输入账号、绑定邮箱、安全提问答案,系统确认正确后会向绑定的邮箱发链接来让你改密码,但这其实是无意义的,因为盗号者获取你的密码和安全提问答案后,就可以更改安全提问,而色中色系统却非得需要你填写正确的安全提问才肯发给你改密码链接,这岂不是荒唐!?
复杂的密码和安全提问只能防范盗号者的暴力破解(就是用软件反复尝试很多密码来查出正确的密码),但是对于中了木马或装有盗号软件的电脑,你登陆时用键盘输入的一切信息都会被后台隐藏运行的木马记录(然后在后台以电子邮件形式发送到黑客的邮箱,常见的情况是,黑客种完木马后一开邮箱发过来一堆账号密码!),再复杂的密码也是浮云。但是,好在还有绑定邮箱这个法宝,因为在有木马机器上,你十有八九还没有登陆过你的绑定邮箱,所以后台的盗号木马便无法盗取你的邮箱,这时靠向绑定邮箱发送重置密码链接的方式可以让用户重新获得账号的控制权。这也是众多论坛采用的安全方式!大家也肯定注意过,淘宝支付宝这类网站还在登录界面运行着安全控件,就是为了防后台木马程序记录用户键盘信息的!
而色中色显然没有任何安全控件,更要命的是,盗号者可以通过更改安全提问使你无法使用”忘记密码“功能!因为你填不出安全提问答案啊!!
安全控件这个可能比较麻烦,所欲论坛没有去做,但是这个绑定邮箱也没法用的话,那就太危险了。
因为后台记录键盘信息这种初级木马是非常普遍的,甚至很多网站可以下载到利用这种原理的盗号工具。你设置再复杂的密码和安全问题都没用!于是普现在的网站普遍都提供通过绑定邮箱重置密码的功能,因为你在一台中毒的机器上同时使用论坛账号密码和邮箱密码的概率比较小(有经验的人会把绑定邮箱设置成一个自己不经常使用、甚至专门用来”被绑定“的邮箱,而不是绑定在一个自己经常用来收发日常信件的邮箱。因为这样更容易出现你论坛账号和邮箱账号在同一个染毒的机器上同时被记录的情况!),这两者不会同时被盗,都可以通过”忘记密码“功能重置密码。
所以,色中色要不就使安全提问的更改手续必须通过邮箱验证,要不就不要在”忘记密码“功能中索要安全提问答案。这两种更改措施都可行,但若不采取,那这功能就废了
之所以强烈建议版主重视这个安全漏洞,是因为这种后台记录键盘信息原理的木马非常广泛,而且层出不穷,不断演变。稍微出来个新变种,杀软就无法辨识藏在后台的木马,你的号也就没了。你若是在网吧上色中色,那就更是危险了。虽然网吧电脑有还原卡,每次一开机就是干干净净的新系统,但是对于经常上各种黄网的广大狼友来说,你很可能遇到这种情况:在网吧开机后,上了一会别的乱七八糟的网之后不知不觉感染了木马,接着一上色中色,你的密码就被泄露了!
我觉得色中色真的得重视这个问题,因为这种盗号手法曾经非常猖獗流行,是个人下个工具就能盗取别人的论坛密码为己有。而且黑客可以利用此法批量盗取账号0,他所需要的只是自己编写一个360无法识别的新木马(因为这个使用最广,而且安全性最差)就可以盗取色中色论坛百分之九十的用户密码,这个攻击手法很可能会被同行竞争对手使用哦!后来就是被绑定邮箱、绑定手机这种策略克制了。于是使用此法的黑客也少了。但是令我惊讶的是色中色的这个绑定邮箱功能竟然如此搞笑,实在……总之希望重视
另外提醒一下,黑客可以利用此法批量盗取账号,他所需要的只是自己编写一个360无法识别的新木马(因为这个使用最广,而且安全性最差)就可以盗取色中色论坛百分之九十的用户密码,这个攻击手法很可能会被同行竞争对手使用哦!
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
