第135章 黑客刘鑫拿下5万美金

我们在初始测试中遇到的阻止用户的迹象，所以我的希望并没有完全破灭。”

    ??“之後我突然意识到，如果我们发送的所有请求没有同时到达服务器，则服务器会将IP地址列入黑名单。即使请求之间的延迟间隔只有几毫秒，服务器仍可以检测到攻击并进行组织。想通这一点後，我立即调整了代码以处理这种情况，并再次对其进行测试。。”

    ??“令人惊讶的是，它生效了，这次我获得了成功的响应。我一共发送了约1000个左右七位数的密码，其中包含正确的那一个密码，并能够成功进行下一步更改密码。”

    ??张莹：“我有个问题，刚刚你说的，上面的过程仅对未启用双因素身份验证的用户有效，因为如果用户启用了双因素验证，我们必须绕过双因素身份验证代码才能更改密码。”

    ??刘鑫点了点头道：“是的，我对一个启用了双因素验证的帐户进行了测试，我发现其同样也容易受到此类攻击。启用双因素验证的帐户在重置密码时，首先会被要求输入由身份验证器应用程序生成的6位数字代码，验证通过後，才会被要求输入发送到其电子邮件或电话号码中的7位数字代码。

    ??“这意味着，攻击者必须同时发送6位和7位安全码的所有可能性，我计算了一下大约会有1100万次请求尝试，以更改任意微软帐户的密码。”

    ??“要发送如此大量的并发请求并不是一件容易的事，攻击者需要需要大量的计算资源以及数千个IP地址才可能成功进行攻击。所以我没有办法进行更进一步测试了，但是以我目前的成果，应该可以拿到那5万美金的奖金了。”