望麓自卑—湖南大学最具潜力的校园传媒

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1023|回复: 4

400秒远程攻破你的QQ密码 OICQ存在安全隐患 (ZT)

[复制链接]
发表于 2005-5-13 11:55:57 | 显示全部楼层 |阅读模式
51期间,被公司要求研究OICQ的通讯协议,在对OICQ认证的分析过程中发现了一个严重的安全脆弱性隐患,导致黑客可以简单的通过网络数据抓包,破解整个局域网内的OICQ密码。

  分析发现,OICQ在登陆过程中,尽管没有密码被直接传送的过程,整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后,服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。

  根据这个问题,5月1日编写的测试程序在1.4G,768M的平台上。在最大400秒的时间内,仅仅通过对网络数据包的抓取,远程分析出了网络上另一台计算机任意8位的OICQ数字密码,具体效果可以查看动画演示: http://www.geforce.com.cn/researchlab/qq.html

    和腾讯OICQ传统安全问题相比,这个脆弱性隐患无需在受害人电脑安装任何软件,黑客仅仅需要在自己的电脑上运行程序,既可以直接破解网络中其他用户的OICQ账号,窃听用户聊天内容,造成个人隐私的泄漏。

  此问题出现在OICQ2001以上的版本之中,使用这些版本的用户,建议您修改数字密码,采用更复杂的密码组合,避免可能的安全隐患。
———————————————————————————————————————————
PS:本文虽然仅提到QQ2001,但我发现本文作者在CSDN很隐蔽很隐蔽的地方说这个问题在2005版中是同样存在的,但是作者不愿意公布测试程序,谁有兴趣的自己抓包研究一下咯


--------------------------------------------------------------------------------
发表于 2005-5-13 14:03:18 | 显示全部楼层
从最原始的版本到最新版的2005,qq在最基本的消息接收发送方面依旧是那么的差!!!!

鄙视腾讯公司,不是同学朋友都用qq,我死也不用......
发表于 2005-5-13 14:14:53 | 显示全部楼层
没什么具体的东西,看了下演示,看不出什么,就是几个对话框,我随便也可以做。。。

而且从刚开始的网卡选择,似乎有点搞笑;

仅凭简单的这些字,很难说明什么;

他可以不提供源代码,但似乎原理都没怎么具体说;

不知道这篇文章的原文在哪里,里面具体怎么说的?
发表于 2005-5-13 14:16:22 | 显示全部楼层
发表于 2005-5-13 14:22:06 | 显示全部楼层
http://www.csdn.net/news/newspl/21/21199.shtml

csdn上的评论

没有不存在漏洞的软件,不过腾讯在某些方面确实太不厚道了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

每日推荐上一条 /1 下一条

小黑屋|手机版|湖南大学望麓自卑校园传媒 ( 湘ICP备14014987号 )

GMT+8, 2024-11-24 22:11 , Processed in 0.465887 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表