智联招聘竟然明文保存用户密码!

女朋友准备换工作,所以就打开智联招聘准备投投简历,可惜登录的时候密码错误,又把密码给忘了(老是记不住密码,难道女人都这样?),当时我正好在旁边围观,就让她使用找回密码吧,也顺便看下智联的密码找回流程(看来有了强迫症!)!

仔细观察了下,智联竟然使用ASP开发的,以前真没注意过,查了下它的http header如下:

网址 my.zhaopin.com/loginmgr/forgetpassword.asp 检测结果如下:

是否压缩

压缩类型

gzip

原始文件大小

15930 字节

压缩后文件大小

5698 字节

压缩率(估计值)

64.23%

Header信息

Date

Sat, 14 May 2011 15:09:24 GMT

Server

Microsoft-IIS/6.0

X-Powered-By

ASP.NET

Content-Type

text/html; Charset=utf-8

Expires

Sat, 14 May 2011 15:09:24 GMT

Cache-Control

private

Content-Encoding

gzip

Content-Length

5698

X-Cache

MISS from web-s62.zhaopin.com

X-Cache-Lookup

MISS from web-s62.zhaopin.com:80

Via

1.0 web-s62.zhaopin.com:80 (squid/2.6.STABLE16)

Connection

keep-alive

开启了GZIP,用的确实是IIS6,看来很大可能是ASP开发的了,真是不太明白,什么年代了,还在使用已经被淘汰的技术,不理解!(可惜更让人震惊和不理解的还在后边)

在登录页面登录按钮边上有一个忘记密码的链接,点击进入找回密码页面,只需要输入邮箱和验证码即可,这到也无所谓,反正登录帐号就是邮箱;输入完成后,就是进入邮箱查看邮件了,有过无数经验的人都应该很熟悉

邮件很快发过来了,打开邮件看了内容以后我震惊了,以下是邮件内容:

尊敬的用户您好:

您使用了找回密码的功能,下面是您注册时使用的用户名和密码,请妥善保管。

您的用户名:

xxxxxx@21cn.com

您的密码:

123456

感谢您对智联招聘网的全力支持。

智联招聘网

让我震惊得是,智联给我发过来的就是我忘记的密码,智联怎么知道我的密码的,还能给我发过来。。。用过密码找回功能的人都应该知道,大部分网站是让你点击一个链接,然后在新打开的页面修改密码;或者发给你一个临时密码,让你进入系统去修改密码。而智联呢?竟然给我们发过来了我们的注册密码!!!

做过开发的人都直到,如果要发送注册密码明文到用户邮箱,那只有一个可能,就是智联没有采用不可逆算法对密码进行加密,只要有权限,任何人都可能直到用户的密码明文,这是赤裸裸的强盗行径!!!大部分人在网上的密码可能只有一个,如果就这样被别人知道了,那用户在互联网上还有何隐私存在!!

希望大家都不要在用这样的网站了,用户资料和隐私没有任何的保障!!

Published: May 14 2011

blog comments powered by Disqus