开发者社区> 问答> 正文

阿里云cps的rand防cs只不过是一头纸老虎

对阿里云的CPS一直没啥兴趣也从来没有做过,既然话题又扯出来了就研究下吧。

大概漏洞很容易猜测到,下面的三行命令即完成了证实。

这个过程用PHP写一下同样3行代码就能完成,file_get_contents加preg_match加echo,OK了。

现在rand只是限制了时间大概10秒左右失效,对阿里云开发人猿的建议,至少应该把rand值和IP匹配一下,现在构造出rand后在其他机器仍然可以有效,这条疏忽也成就了这只纸老虎。

展开
收起
云代维 2013-08-17 08:26:20 8463 0
8 条回答
写回答
取消 提交回答
  • 水平有限 没看懂
    2013-08-17 14:06:16
    赞同 展开评论 打赏
  • 2013-08-17 13:50:05
    赞同 展开评论 打赏
  • Re阿里云cps的rand防cs只不过是一头纸老虎
    求版主站的模版
    2013-08-17 10:25:14
    赞同 展开评论 打赏
  • 有没有可能是阿里云故意放出来的洞。

    -------------------------

    回 6楼(服务器之家) 的帖子
    MS以前是谁有过这种案例的。
    故意让人觉得有机可趁。
    大家都来趁来了。结果火了。
    然后。官方出面封杀了可趁之机。
    来了的。走不了。也舍不得走。
    明白?
    2013-08-17 09:39:49
    赞同 展开评论 打赏
  •    围观
    2013-08-17 09:19:37
    赞同 展开评论 打赏
  • 你是我偶像
    2013-08-17 09:19:15
    赞同 展开评论 打赏
  • 有个失误,PHP代码最后一行不应该是echo而是header。
    2013-08-17 09:03:53
    赞同 展开评论 打赏
  • 来看下
    2013-08-17 08:46:17
    赞同 展开评论 打赏
滑动查看更多
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
数据+算法定义新世界 立即下载
PHP安全开发_从白帽角度做安全 立即下载
PHP安全开发:从白帽角度做安全 立即下载