记得以前密码重置刚出来的时候,四位数验证码绕过满天飞。如下:
然后,进行爆破就可以重置密码了:
后来,验证码重新设置为6位数验证码,但是如果不对过期时间进行限制,依然可以被爆破。6位数,理论上来说,有一百万种可能。在这里以个人笔记本为例,一般最大线程为200。
所以一共需要5000秒,爆破完毕。 折算成分,就需要83分钟,也就是一个多小时。虽然攻击成本上升,但是还是可以进行破解。如果用服务器破解,速度更快。
有时候主站,对爆破时间和频率进行了限制,但是一般都会设置10分钟-15分钟的过期时间。这里不讨论服务器的爆破情况。
但是,分站却因此而疏忽,在这里给出例子:
http://www.freebuf.com/vuls/164652.html
所以,鸡肋的未必不好用。 鸡肋的掌握多寡决定着你与他人的差距。
