新浪验证 堪称“纸老虎”
安全阵线
前几天,小编在某个牛人的新浪博客上看到一篇牛文,看得小编是热血沸腾。不过小编对文中的1个推测持怀疑态度,想给牛人私下交流一下,于是就点击博客页面中的“发纸条”,在文本框中填好内容,输入验证码后发送了信息。
安全小百科:验证码的原理是将一串随机产生的数字或符号生成一幅图片,在图片里加上一些干扰像素,由用户肉眼识别其中的验证码信息后,输入表单提交网站进行验证,验证成功后才能使用某项功能。
在填写验证码时,小编发现一个问题,验证码居然是4位数的纯数字,这个可是很老的验证方式了。小编在测试验证码的时候,发现无论输入什么数字的验证码,都可以通过验证,验证码形同虚设(见图)。试了新浪多个博客,都是这个情况。
雷人呀!使用验证码原本是为了防止有人利用恶意程序自动批量发送纸条,结果竟然是一只吓人的纸老虎。如果利用恶意程序,就可以无限制地发送大量垃圾信息,会对博主造成严重干扰。
这种低级漏洞虽然危害不大,但对新浪这种大型网站而言却是不该存在的,希望引起足够的重视,及早对验证系统进行安全检测和升级。
你想在线举报恶意网站吗?你想要小编在线帮你鉴定恶意网站吗?你想跟广大网友一起声讨恶意网站吗?登录http://hd.shudoo.com/f/bb,发帖吧!
恶意网站周榜
HOSTS反黑文件上周一共拦截了73119 次,其中拦截次数最多的10个恶意网站中有5个流氓网站、2个色情网站、3个病毒网站。http://www.fjhxmy.cn/soft/?334423.htm 是上周举报人数最多、最受读者憎恶的恶意网站。下面是我们挑选的针对该网站的一封读者举报信。
读者举报信:我来举报QQ虚假软件。我在网上看到有人在推荐充QQ业务软件,号称可以免费得到QQ会员、红钻、黄钻、蓝钻、绿钻、粉钻、紫钻等(见图),并保证绝对可以下载、绝对可以使用。
我在该网站查看时,发现该网站没有进行网络备案。网站的软件根本不能下载。在网上搜索后,发现声讨此类软件的朋友有很多,纷纷指责此类软件是虚假的,根本没有所谓充值能力。