一、 漏洞 CVE-2006-4068 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
pswd.js 脚本依赖于客户端计算一个用户名和密码是否与服务器硬编码的哈希值匹配,并使用了创建一个大量碰撞的哈希算法,这使得远程攻击者更容易进行离线暴力攻击。注意:此脚本也可能允许攻击者在不确定原始密码的情况下生成服务器端的 "秘密" URL,但此可能性最初研究者并未讨论。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The pswd.js script relies on the client to calculate whether a username and password match hard-coded hashed values for a server, and uses a hashing scheme that creates a large number of collisions, which makes it easier for remote attackers to conduct offline brute force attacks. NOTE: this script might also allow attackers to generate the server-side "secret" URL without determining the original password, but this possibility was not discussed by the original researcher.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
PSWD.JS 认证实现方式不安全口令哈希漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
pswd.js是一个客户端认证脚本。 pswd.js的认证实现方式上存在漏洞,远程攻击者可能利用此漏洞绕过认证。 在进行认证时pswd.js生成表单中所提交口令的哈希,然后检查所生成的哈希是否包含在其硬编码的向量中,如果是的话就将用户重新定向到安全的html页面。这种认证方式并不安全,允许攻击者使用通过暴力猜测预先计算出的口令哈希通过认证,非授权访问运行该脚本的应用程序。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2006-4068 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2006-4068 的情报信息