如果我能发贴,那么代表这个网站有大大的bug

@Ta 03-05 17:04发布,03-05 17:40修改 11474点击
刚刚回复测试了,现在是发帖测试,我不是楼主本人, 我没有盗号 ,,,,,,,,,,,感谢这位网站没有修改密码和乱搞什么的,现在已经修改密码。

个人感觉老虎把相关登录判断信息放入到了url地址中。

广告位一个草根小破站http://huue.cc乎学技术自制小尾巴
回复列表(28)
  • @Ta / 03-05 17:07 / /
    大佬上线了
  • @Ta / 03-05 17:15 / /
    当我登录这个账号时,他的个人资料 电话号码 已经暴露无遗,没有安全密码验证机制。所以问题来了,到底是什么原因导致账号主的账户泄露。 原因有3:1,我安装了很多插件 2,我从此账号主的网站前来 3,我从账号主分享的链接而来 4,宗上,应该是cookis没有判定,或者session 期一直有效,没有地区判定造成 5,分享链接包含了一些不单纯的东西
    广告位一个草根小破站http://huue.cc乎学技术自制小尾巴
  • @Ta / 03-05 17:22 / /
  • @Ta / 03-05 17:30 / /
    现在是号主发表评论,上面不是我发表的,好的号被无名人士登录成功。
    广告位一个草根小破站http://huue.cc乎学技术自制小尾巴
  • @Ta / 03-05 17:33 / /
    @老虎会游泳,就是用户登录后在复制本站的相关URL地址分享给别人,别人就可以通过该地址直接登录成功。
    广告位一个草根小破站http://huue.cc乎学技术自制小尾巴
  • @Ta / 03-05 17:36 / /
    嗨,姬长信_新,欢迎回到虎绿林 编程学院。
    返回来源页:
        你可以点击这里返回来源页继续访问。
        如果你访问上面的链接掉线了,可以点击这里返回来源页,并把它存为书签,下次从书签访问时将自动登录。
    返回首页:
        你还可以点击这里返回首页。
        或者从这里返回首页(防掉线)。

    这不是bug啊  
  • @Ta / 03-05 17:43 / /
    @20263,你登录你的账号后打开一篇帖子在复制该帖子的URL再在一个浏览器中打开就会直接登录相关账号
  • @Ta / 03-05 18:33 / /
    @老虎是大猫咪,你看看这个链接里面有什么,你用过柯林不,网址中间那一串就是sid,本来就是记录登录信息的
    你只要用了防掉线链接,之后所有的链接都会包含sid,这不是什么bug,起初是给不支持cookie的人留的
    IMG_20220305_182653.jpg
    链接如下
    https://hu60.cn/q.php/L4GBpjten459wAg3z*****4AAA/index.index.html
  • @Ta / 03-05 19:00 / /
    被锁定
    层主 @老虎是大猫咪 于 2022-03-05 19:00 删除了该楼层。
  • @Ta / 03-05 19:03 / /

    @无期徒刑@老虎是大猫咪,在网址中传递身份信息是虎绿林程序的可选加入功能(用户需要主动点击“防掉线链接”才会使用该功能)。
    虎绿林程序还有另一个功能,如果发帖和回复中检测到身份信息,会将其移除。
    但是,虎绿林程序无法阻止用户复制地址栏中的链接然后发送给其他人,如果用户确实想这么做,他就可以做到。有时候,这甚至是一个“安全”的功能,可以在不告诉别人密码的情况下就和别人共享帐号。修改密码可以重置身份信息,所以该共享可以随时撤回。

    看起来有些用户不知道防掉线链接中存在身份信息。也许我们应该加强用户培训。

  • @Ta / 03-05 19:05 / /
    @老虎会游泳,老虎这个能不能加一个用户可以自己选择有效时间,过一段时间就自动失效
  • @Ta / 03-05 19:06 / /

    写个警告弹窗模板,之后加到防掉线链接里去。

    注意:链接中的/L4GBpjten459wAg3z*****4AAA/部分是你的身份认证信息,复制地址发给其他人的时候请将这部分替换为单个/,否则,其他人可以通过此链接登录你的帐号。
    如果你的身份认证信息已泄露,请修改密码进行重置。

  • @Ta / 03-05 19:07 / /

    @老虎是大猫咪,目前有效期是30天,自动重置。我之后会加时间选择和立即重置按钮。

  • @Ta / 03-05 19:09 / /
    @老虎会游泳,我这个链接分享了很久了还是可以使用,我觉还是出一个用户可以自己选择过期时间
  • @Ta / 03-05 19:25 / /
  • hik
    @Ta / 03-05 20:00 / /
    柯林串号 https://cway.top
  • @Ta / 03-05 21:05 / /
    被锁定
    层主 @ 于 2022-03-05 21:05 删除了该楼层。
  • @Ta / 03-05 21:13 / /

    把防掉线链接功能去了吧,什么年代了,那玩意早没用了

  • @Ta / 03-05 22:01 / /

    @老虎会游泳,在有网页插件的情况下,地址栏带认证信息确实比较危险,如果有人使用了类似这样的插件 https://hu60.cn/q.php/bbs.topic.92900.html ,那么插件作者可以随时更改js的内容,通过document.location即可拿到认证信息。
    红米K30 Pro(变焦版)

添加新回复
回复需要登录