账号通
    

账号  

密码  

2672

查看

1

回复
主题:[反馈BUG]科讯会员数据表的密码有漏洞 [收藏主题]  
zhuqinhe 当前离线

21

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:161 分
登录次数:16 次
注册时间:2009/9/11
最后登录:2010/10/23
zhuqinhe 发表于:2010/7/5 14:08:08   | 显示全部帖子 查看该作者主题 楼主 
科汛在线商城系统(NET)
科讯的会员数据表 KS_User 中有这么个字段,字段名为:RndPassword,这个字段是将会员注册时候提交的密码及日后的密码修改后的的原始数据放置在这个字段中,这样的话导致系统一个很大的漏洞,只要调用出这个字段,为了安全性,在此不做教程了,就能***该网站的管理员密码以及该会员在其他网站上的该用户名的密码等等,希望官方给予改进,现在的原理是这个供会员找回密码用,应该更改为一旦会员要找回密码,给该会员发的是经过系统生成的一个新密码而非非得要原始的密码,这样的话即可把该字段名删除杜绝系统漏洞!!!我自己系统已改,望官方改进!1
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.08203秒 powered by KesionCMS 9.0