昨天出了这事之后,昨晚我把自己密码改了,收到邮件确认密码修改成功,然后也在自己宿舍的电脑重新用改过的密码登陆过了。今天来到公司,打开IE,进CSDN,完蛋:直接登陆了,并且进行一切操作都没问题。这代表什么呢?一个网站在本机上存COOKIE的话,一般来说是存用户名、密码、日期等,然后登的时候进行各种验证,如果符合就继续,不然就叫你登陆。昨天我在自己宿舍改了密码,今天在公司电脑用旧的COOKIE竟然不用重新登陆,说明CSDN保存在本机的COOKIE根本就不包含密码信息,而且CSDN也根本不验证COOKIE的有效性!!!!这样一来,其实可以非常容易的伪造COOKIE,直接登陆任意一个账号,做任何你要的操作!十几年前我在黑学校网站的时候还比这个麻烦呢:要先入侵数据库,获得MD5加密后的密码。然后在本机伪造COOKIE,包含用户名、加密后的密码、时间日期等,才能骗过网站。而CSDN………………全球最大的中文技术社区?全球技术最烂的社区吧!!!!
上午下了个看了下SQL内容,试了几个邮箱,还真的直接进入了。。
有密码相同的,全要改啊,不只是CSDN了,估计这个泄露损失大了。
记得原来就有一个博客刷新问题,在论坛上面提问了,然后就改正了
希望用户的监督对建站是一个好事,
也希望csdn从此多吸收点技术大牛,主抓一下健壮性
但是我找不到合适的服务商,现在真是“四海之大,无容身之地矣!”