明天开学今天晚上睡不着,就google搜索了几个关键字逛逛,发现一个网友的blog, 就点进去看了看。 无意中发现页面右下部有个login的链接,就点了进去。 。 。 于是随便输了个用户名和密码,提示用户名不存在;然后我由测试了admin这个用户名, 发现
只提示密码错误消息。
第一种描述的情况是我随意输入的用户名, 结果错误消息提示的很详细,生怕你不知道自己用了错误的用户名。 然后我用admin测试了一下,看第二种, 错误消息是无效密码, 这说明什么? 很明显admin这个用户名正是博主的登陆用户名。 呵呵。密码用黑客字典加破解工具,有点耐心的人,就可以进的去。。。
wordpress这种错误提示太详细了,反而是个漏洞。
解决办法是:
1. 不要把login链接显示放在你的blog页面上
2. 修改wordpress的错误信息, 不要显示这么详细的错误消息。
这位朋友的blog里还列出了他的gmail地址,msn信息和qq号,于是我点击了forget password按钮,把他的gmail地址输进去, 结果邮件正确发出去了,这说明,blog的登陆信息和他的gmail帐号是有所关联。我也知道了他的qq号,那么我假装一个mm,加他qq号和他聊天, 套出他的一些信息,破解他blog密码是很轻松的事情,甚至不需要去用什么暴力破解软件。。。这也可以帮助理解,什么叫社会工程学。
所以在这里提醒wp新手站长及时修改这个不属于bug的bug和适当保护好自己网络ID等个人资料以免减少某些不良用心人士破解你博客或者类似php程序密码的时间!如果你是一个爱好逆向工程的老鸟也希望你们能参照google“不做恶”的精神行事!
挺漂亮的博客,什么主题啊??
rain主题
😎 😎
😳 😎 ❓
😳
❓
💡
🙂
😎
😉 测试通过!呵呵
😎 😎 😎
www 😎