400秒远程攻破你的QQ密码 OICQ存在安全隐患

简介:
原始连接: [url]http://www.netexpert.cn/viewthread.php?tid=1546[/url]
Neeao:汗一个!

51期间,被公司要求研究OICQ的通讯协议,在对OICQ认证的分析过程中发现了一个严重的安全脆弱性隐患,导致黑客可以简单的通过网络数据抓包,破解整个局域网内的OICQ密码。

  分析发现,OICQ在登陆过程中,尽管没有密码被直接传送的过程,整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后,服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。

  根据这个问题,5月1日编写的测试程序在1.4G,768M的平台上。在最大400秒的时间内,仅仅通过对网络数据包的抓取,远程分析出了网络上另一台计算机任意8位的OICQ数字密码,具体效果可以查看动画演示:  [url]http://www.geforce.com.cn/researchlab/qq.html[/url]  

和腾讯OICQ传统安全问题相比,这个脆弱性隐患无需在受害人电脑安装任何软件,黑客仅仅需要在自己的电脑上运行程序,既可以直接破解网络中其他用户的OICQ账号,窃听用户聊天内容,造成个人隐私的泄漏。

  此问题出现在OICQ2001以上的版本之中,使用这些版本的用户,建议您修改数字密码,采用更复杂的密码组合,避免可能的安全隐患。
PS:本文虽然仅提到QQ2001,但我发现本文作者在CSDN很隐蔽很隐蔽的地方说这个问题在2005版中是同样存在的,但是作者不愿意公布测试程序,谁有兴趣的自己抓包研究一下咯 

相关关键字: QQ密码 OICQ 隐患

动画演示

[url]http://www.geforce.com.cn/researchlab/qq.html[/url]












本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8506 ,如需转载请自行联系原作者


相关文章
|
安全 Shell API
绕过反病毒添加管理员用户小结
绕过反病毒添加管理员用户小结
191 0
绕过反病毒添加管理员用户小结
|
JavaScript 中间件 数据安全/隐私保护
【每日渗透笔记】后台弱口令+未授权尝试
【每日渗透笔记】后台弱口令+未授权尝试
244 0
【每日渗透笔记】后台弱口令+未授权尝试
|
安全 数据安全/隐私保护
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
|
安全 数据安全/隐私保护
黑客能篡改WiFi密码,源于存在漏洞
随着社会的快速发展,城市中的无线网络遍布各处,如,首先是自家,一般都会接入光纤网络,然后是出行的交通工具汽车,火车,飞机等,或者是公园广场,商场,酒店等都是存在着无线网络,而且有一些无线网络是免密码连接就可以用的,那么它们是否存在安全问题呢?黑客会盯上WiFi网络吗?答案是会的。
1491 0
|
安全 数据安全/隐私保护
黑客组织攻破苹果服务器 已公布部分用户密码
北京时间7月4日消息,据国外媒体报道,黑客组织Anonymous和Lulz Security周日在网站公布了一份文件,声称该文件中包含了来自一台苹果服务器的用户名和密码。 Anonymous和Lulz Security此前联合发起AntiSec(反网络安全,anti-security的缩写)攻击,将目标指向全球银行、政府机构和其它一些企业网站。
869 0
|
数据安全/隐私保护 C++ Windows

热门文章

最新文章