论坛: 菜鸟乐园 标题: 发现个新浪小漏洞 复制本贴地址    
作者: hellanx [hellanx]    论坛用户   登录
我是新来的,不知道这个算不算漏洞呀   
    这两天发现新浪有个漏洞,就是从首页登录会员中心,而不是进通行证,里面的基本信息点登记后,里面的信息全是明文显示,如密码提示问题和答案等(这样别人如果知道你密码什么全都知道了,如果你在其它网站设置的问题一样根据社会工程学我想答案也应该一样吧,这样。。。。),而进入通行证就不会,寒!!。这么大公司犯这么个低级错误,心想等两天看看,今天回来一看还是一样,实在受不了了,打电话过去反应了一下,指导服务小姐实验过后她感到惊讶说向上反应(安全意识还是有的),不过新浪工程师的反应速度还是超快的(心里总算有点安慰了),5分钟不到我在去看就全不显示了(这点比工商银行好多了,工行不管你怎么反应全没用哎,国有就是牛B这点不服不行),男女都不显示了。。。寒!!,不过我不能理解新浪工程师的智商,算盘智商拨一下就动一下,比如密码提示问题和答案虽然不显示了,可是照样可以直接修改,不问原来老的问题和答案在次寒!这不换汤不换药么,真服了,这在新浪通行证里可不是这样。


地主 发表时间: 07-11-10 17:38

回复: 富毫 [bking]   版主   登录
像你这么正常访问,网页上显示的东西都是别人想让你看到的,不算漏洞。 除非你能用非常规方法看到别人不想让你看到的东西兴许算找到个小漏洞。
不过我怀疑你是来抵毁工商银行的。

B1层 发表时间: 07-11-10 22:07

回复: hellanx [hellanx]   论坛用户   登录
不好意思呀,先说新浪,如果我通过UC什么的盗取了密码,通过新浪首页我说的方法去改密码安全问题和答案,那么这个人就算设置了密码保护问题也找不回来了我说的不对么?


工商银行我不知道是不是漏洞,原来好多用户和他打官司发现的漏洞后来改好的不说了,现在来说,个人版首先如果在登录的时候密码试错3次就给等到明天才可以登录,如果有人恶意试我的密码超过3次我今天就别想上网银了,有急用也不行。
其次如果真的叫人把你的密码试到了,不要说不可能,笨蛋多的事,不懂计算机用网银的也大有人在,更不用说懂密码学了,原来可以把钱转走,现在强制用口令卡了只能说减少了风险,可是不知道有没有朋友发现,买卖基本、外汇、黄金等不要口令卡或移动证书(U盾),这就会出现恶意买卖这样的风险,口令卡移动证书形同摆设全没用了,当然工行最喜欢这样了,因为手续费到手了。
其实防范方法有很多,比如登录的时候验证口令卡或移动证书。给工行打过电话反应过,说会上交处理1年多了也没见改善。

不过后来我发现工行其实是个流氓,企业版的网上银行登录的时候就会要求证书验证,是不是怕陪不起呀,个人用户弱势群体不用怕,就算吃官司托个三年五载的累死你,企业就不一样了,赔款先不说,上下打点就给不少钱。。。。

版主我想说,非技术性的漏洞应该也算是漏洞吧,如果不算那我也没话好说了,请把我这个帖子删了吧。


B2层 发表时间: 07-11-11 14:16

回复: 富毫 [bking]   版主   登录
懂你的意思了,你就是抱怨工行个人版没开证书是吧?
买卖基本、外汇、黄金还是要自己开户吧?
工商银行好像有两种密码。一是登陆密码,二是交易密码。 且两个密码不能相同。
还有密码不能设为111111,123456之类的弱智密码。被破解的机率很小很小,两个密布同时破解的机率就更小了。 当然,风险是有的,但这需要大家共同加强防范意识,不仅仅是工行的责任。

B3层 发表时间: 07-11-11 16:46

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号