我遇到了一个问题,我的服务器接受了网站的错误密码。
例如,我的域名可能是“johndoe.com”,场景是
- ht 登录名:约翰多
- 密码:约翰多123
它可以很好地登录,但是有一个小问题。出于某种原因,我也可以使用我的登录名作为密码,它也会让我登录!我尝试使用随机密码,但没有成功(预期行为)。
我查看了我的 .htpasswd,它看起来像这样:
johndoe:rpFVb9n8R.p9c
那么我的密码和登录名如何同时起作用正确的密码?这个我不懂 :/
答案1
根据哈希值,您似乎使用 crypt 作为密码。旧版本的 crypt 实际上只使用密码的前 8 个字符,因此如果您的用户名和密码的共享前缀比这长,就会导致您看到的症状。
不要使用 crypt,而要使用 SHA;htpasswd使用-s标志运行,例如
$ htpasswd -bs /path/to/htpasswd johndoe johndoe123