这是一个创建于 2625 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先是 @chuchur 本人表示自己是通过撞库 Github 来拿到刷 Star 的账号的: 
然后在 t/485555?p=3 第三页突然出现大量洗地的回复,同时指责楼主。 
最诡异的一幕发生了,上面洗地的一个用户表示这些洗地回复并不是自己发表的。 
如果是真的通过盗号洗地,是不是可以送那个 chuchur 去局子里喝个茶了? 希望 V 站管理层能调查一下。 @livid
 | 1 youngxu 2018-09-04 10:17:36 +08:00 via Android 资瓷一下 |
 | 3 orangeade 2018-09-04 10:27:37 +08:00 丰富 block 列表 |
 | 6 tuutoo 2018-09-04 10:40:38 +08:00 @dong3580 没有用过其他客户端,我一向是网页登陆的。密码也是只有 V 站用的。。。如果我的帐号不是个例,那就应该引起重视了。 |
 | 7 zylll520 2018-09-04 10:44:42 +08:00 还有这种操作... |
 | 8 pisser 2018-09-04 10:46:26 +08:00 这个小产业都扯成这样了?油水很多吗? |
 | 9 Livid MOD PRO  1 |
 | 10 est 2018-09-04 10:48:13 +08:00 你们想多了。其实本站只有我一个用户。不信我换个帐号跟你说一样的话。 |
| 11 tuutoo 2018-09-04 11:26:55 +08:00 @Livid 撞库的可能性很小。我每个网站密码都是独立的,专门有一套规则。 如果不是他在那个帖子里回复,我完全不知道,自己的帐号在被别人登陆使用。 |
 | 14 feverzsj 2018-09-04 11:34:37 +08:00 也有可能是多重人格 |
| 15 tuutoo 2018-09-04 11:51:13 +08:00 via iPhone |
 | 16 alioth310 2018-09-04 12:07:35 +08:00 v2ex 的登录验证是存在暴力破解问题的。 当用户输入的用户名密码不匹配时,如果验证码输入正确,那么页面跳转后生成的验证码文字和之前的验证码文字是相同的,仅仅变换了字符的显示样式,因此在输入一次正确的验证码的情况下,是可以重放暴力破解的。 此外,从接口请求看,很可能 once 参数是和验证码结果是一一对应的,这块没有测试,有可能使用同一个 once 就能一直重放。 |
 | 17 yuxuan 2018-09-04 12:14:25 +08:00 原帖他自己承认了 简直没脸没皮  |
 | 18 icylogic 2018-09-04 12:20:30 +08:00 via iPhone 全面独立密码,无所谓。。 |
 | 19 dcatfly 2018-09-04 12:28:34 +08:00 资瓷+1 |
 | 20 inframe 2018-09-04 12:38:39 +08:00 via Android 这个人真的是不要脸啊 |
 | 23 dong3580 2018-09-04 13:22:39 +08:00 v 站是独立密码,不过好奇怎么拿到的。 另外 v 站 cookie 有效期好像是一个月吧,如果在其他地方不断登录, 那么之前登录的还没超过一个月的所有 cookie 都有效么? @tuutoo 你以前的密码很简单? |
| 24 tuutoo 2018-09-04 13:52:56 +08:00 @dong3580 强密码。爆破基本是不可能的,一般也不会针对我的帐号,不认识这人。不管了,反正现在改了密码,开了二次验证。就是这人盗了号还很嚣张啊。。 |
 | 25 EvilCult 2018-09-04 13:57:12 +08:00 吓得我赶紧更新了密码 |
 | 26 AllOfMe 2018-09-04 18:20:12 +08:00 太无耻了这个人 |
 | 27 laike9m 2018-09-04 19:22:50 +08:00 我觉得应该把撞库的行为也向 GitHub 警告。如果说买 star 还只是道德问题,盗号就更严重了。 |
 | 28 nfroot 2018-09-05 10:53:33 +08:00 @alioth310 哈哈,前两天我也研究了一下,感觉 V2 的验证码逻辑挺有意思的(一般验证码都是只准用一次,用完就失效,但是在 V2 居然不是这么回事) |
 | 29 SiqingYu 2018-09-06 15:33:34 +08:00 咋知道自己有没有被盗号? |
Select Language