關(guān)于LB論壇的一個BUG的探討

( 作者：mikespook |?發(fā)布日期：2003-12-8?|?瀏覽次數(shù)：406?)

關(guān)鍵字：漏洞,論壇,LB

現(xiàn)在網(wǎng)上用雷傲論壇的人很多。大家普遍覺得雷傲論壇用起來比較方便，而且插件也很多。不過，老一點的玩家都知道，這個論壇的漏洞也特別多。 　　我對ＣＧＩ沒有興趣，對論壇權(quán)限更沒有興趣。我這里要說的是作為一個程序編寫者應(yīng)該注意的地方。 　　 關(guān)于ＢＵＧ 　　我不知道這個ＢＵＧ是否有人注意過。今天我在寫程序的時候在Ｓ８Ｓ８論壇（使用雷傲論壇程序）看腳本突然想起來的。在回帖的時候如果你是登陸用戶，那“在快速回復(fù)主題: ”的地方有“輸入用戶名和密碼:”。這里明白顯示著你的用戶名和密碼。當(dāng)然了，密碼是“****”。這是ＢＵＧ么？現(xiàn)在，你打開頁面的源文件。并搜索“name="password"”。你會找到一處如“<input type=password name="password" value="123456" οnmοuseοver=this.focus() οnfοcus=this.select()>”。這是什么？這就是那個密碼框，而密碼就明白的顯示在value里“value="123456"”。好了，我們再來看看我們?nèi)绾蔚玫絼e人的密碼與用戶名。在ＩＥ緩沖文件夾中搜索“Ｓ８Ｓ８”會出來很多名如“topic[1]”、“topic[2]”這樣的文件。用記事本打開，搜索“name="membername"”找到value中的用戶名，再搜索“name="password"”找到value中的密碼。（其實這里不用搜兩次，只不過為了說明方便。）好了，你就可以冒名頂替，肆意搗亂了。這個方法，不論你時候退出登陸。只要你登陸，那么你訪問過的頁面就會緩存于ＩＥ緩沖文件夾中。除非你清理緩沖文件夾，否則用戶名與密碼暴露無疑！有幾個朋友在網(wǎng)吧上完了網(wǎng)記得清空緩沖文件夾呢？ 探討 　　我不理解雷傲論壇在那里設(shè)置用戶名和密碼是何用意。我沒有閱讀過完整的雷傲的代碼。不過我的感覺是多此一舉。我閱讀過很多國外ＰＨＰ論壇和ＡＳＰ論壇代碼。并沒有見有論壇將用戶名和密碼如此大方的放在頁面上讓別人瞻仰。 　　再比如登陸時候的驗證碼。驗證碼只是放著好看，讓大家感覺安全些的東西。真要想破，用戶的密碼哪用那么麻煩？我這方法，你甚至連網(wǎng)都不用上。只要看看緩沖文件夾就搞掂了。 總結(jié) 　　其實，這個ＢＵＧ并不是只有雷傲論壇才有。很多程序都有這個東西。（特別是國產(chǎn)程序，說不清楚誰抄誰了。）個人以為，作為程序員還是應(yīng)該弄些實際的東西。對于華而不實的玩意，玩玩就好，切不可當(dāng)做寶貝。否則畫蛇添足，反而出了漏子。

總結(jié)

以上是生活随笔為你收集整理的关于LB论坛的一个BUG的探讨的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。