400秒远程攻破你的QQ密码 OICQ存在安全隐患

简介:
原始连接: [url]http://www.netexpert.cn/viewthread.php?tid=1546[/url]
Neeao:汗一个!

51期间,被公司要求研究OICQ的通讯协议,在对OICQ认证的分析过程中发现了一个严重的安全脆弱性隐患,导致黑客可以简单的通过网络数据抓包,破解整个局域网内的OICQ密码。

  分析发现,OICQ在登陆过程中,尽管没有密码被直接传送的过程,整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后,服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。

  根据这个问题,5月1日编写的测试程序在1.4G,768M的平台上。在最大400秒的时间内,仅仅通过对网络数据包的抓取,远程分析出了网络上另一台计算机任意8位的OICQ数字密码,具体效果可以查看动画演示:  [url]http://www.geforce.com.cn/researchlab/qq.html[/url]  

和腾讯OICQ传统安全问题相比,这个脆弱性隐患无需在受害人电脑安装任何软件,黑客仅仅需要在自己的电脑上运行程序,既可以直接破解网络中其他用户的OICQ账号,窃听用户聊天内容,造成个人隐私的泄漏。

  此问题出现在OICQ2001以上的版本之中,使用这些版本的用户,建议您修改数字密码,采用更复杂的密码组合,避免可能的安全隐患。
PS:本文虽然仅提到QQ2001,但我发现本文作者在CSDN很隐蔽很隐蔽的地方说这个问题在2005版中是同样存在的,但是作者不愿意公布测试程序,谁有兴趣的自己抓包研究一下咯 

相关关键字: QQ密码 OICQ 隐患

动画演示

[url]http://www.geforce.com.cn/researchlab/qq.html[/url]












本文转自loveme2351CTO博客,原文链接:http://blog.51cto.com/loveme23/8506 ,如需转载请自行联系原作者


相关文章
|
安全 Shell API
绕过反病毒添加管理员用户小结
绕过反病毒添加管理员用户小结
176 0
绕过反病毒添加管理员用户小结
|
安全 数据安全/隐私保护
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
|
安全 数据库 数据安全/隐私保护
信息周刊:随意设置电脑密码存在安全隐患
据美国出版的最新一期《信息周刊》披露,不少电脑用户在设置电脑密码时太过随意,这给电脑黑客窃取个人信息提供了便利。 据报道,最近美国一家名为phpbb.com的电脑程序网站的数据库被黑客入侵,2万名用户的密码被窃。
901 0
|
数据安全/隐私保护 C++ Windows
|
安全 数据安全/隐私保护
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1129 0