[程式] 石器時代官網帳號註冊功能有漏洞
http://forum.gamer.com.tw/C.php?bsn=01571&snA=21675
簡單說呢...
官方網頁的註冊功能似乎沒有考慮到"資料隱碼"問題
(帳號名稱裡加入像是 ' " = 等有程式功能的字元
造成原來的程式出錯)
加上重要資料的傳遞過程是公開的
(資料直接接在網址後面)
最後經由善心人士公開解說如何利用上述漏洞
揭露了這毀滅性的bug
(原作者試過可以修改任何一組帳號的密碼、安全密碼)
這些過程只要有稍微碰過資料庫,網頁程式設計的人都不難理解
真是可怕...
===========================================
補一段剛剛找到的石器時代註冊網頁裡的檢查程式
來源:
http://www.taozhu.com.tw/js/user.js
function register()
{
...中略
else if (username.match(/^\s*$|^c:\\con\\con$|[%,\'\*\"\s\t\<\>\&\\]/))
{
msg += username_invalid + '\n';
}
}
中間一段像亂碼的東西就是可能具有程式功能的字元
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.123.163
推
04/23 02:07, , 1F
04/23 02:07, 1F
※ 編輯: osanaosana 來自: 61.228.123.163 (04/23 02:42)
推
04/23 04:08, , 2F
04/23 04:08, 2F
推
04/23 08:17, , 3F
04/23 08:17, 3F
推
04/23 08:20, , 4F
04/23 08:20, 4F
推
04/23 08:43, , 5F
04/23 08:43, 5F
推
04/23 09:37, , 6F
04/23 09:37, 6F
推
04/23 09:58, , 7F
04/23 09:58, 7F
→
04/23 10:07, , 8F
04/23 10:07, 8F
→
04/23 10:09, , 9F
04/23 10:09, 9F
→
04/23 10:36, , 10F
04/23 10:36, 10F
→
04/23 10:39, , 11F
04/23 10:39, 11F
推
04/23 10:39, , 12F
04/23 10:39, 12F
→
04/23 10:40, , 13F
04/23 10:40, 13F
→
04/23 10:41, , 14F
04/23 10:41, 14F
→
04/23 10:43, , 15F
04/23 10:43, 15F
→
04/23 10:44, , 16F
04/23 10:44, 16F
→
04/23 12:07, , 17F
04/23 12:07, 17F
→
04/23 12:07, , 18F
04/23 12:07, 18F
→
04/23 12:09, , 19F
04/23 12:09, 19F
→
04/23 12:11, , 20F
04/23 12:11, 20F
推
04/23 12:21, , 21F
04/23 12:21, 21F
※ 編輯: osanaosana 來自: 61.228.123.64 (04/23 13:03)
推
04/24 00:29, , 22F
04/24 00:29, 22F
→
04/24 13:12, , 23F
04/24 13:12, 23F
推
04/24 21:07, , 24F
04/24 21:07, 24F
→
04/25 09:56, , 25F
04/25 09:56, 25F
→
04/26 12:05, , 26F
04/26 12:05, 26F