阿里云cps的rand防cs只不过是一头纸老虎
对阿里云的CPS一直没啥兴趣也从来没有做过,既然话题又扯出来了就研究下吧。
大概漏洞很容易猜测到,下面的三行命令即完成了证实。
这个过程用PHP写一下同样3行代码就能完成,file_get_contents加preg_match加echo,OK了。
现在rand只是限制了时间大概10秒左右失效,对阿里云开发人猿的建议,至少应该把rand值和IP匹配一下,现在构造出rand后在其他机器仍然可以有效,这条疏忽也成就了这只纸老虎。
展开
收起
8
条回答
写回答
写回答
-
-
-
-
有没有可能是阿里云故意放出来的洞。
-------------------------
回 6楼(服务器之家) 的帖子MS以前是谁有过这种案例的。
故意让人觉得有机可趁。
大家都来趁来了。结果火了。
然后。官方出面封杀了可趁之机。
来了的。走不了。也舍不得走。
明白?2013-08-17 09:39:49赞同 展开评论 打赏 -
-
-
-
滑动查看更多
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
