|
|
親�,你是否曉得通過電腦登錄3GQQ是存在可能導(dǎo)致密碼泄漏的安全隱患呢?當(dāng)然菲菲可不是聳人聽聞哦�,這是經(jīng)過自己一些測試評(píng)估后得出的結(jié)論�,撰寫這篇文章的目的是提醒大家一定要保管好自己的QQ密碼�,提高安全意識(shí),安全問題真的是無處不在的呀�!
整個(gè)對(duì)3GQQ的登錄分析過程如下:
1�、首先使用火狐瀏覽器自定義User-Agent(用戶代理)后訪問手機(jī)騰訊網(wǎng)3G版(普通版),然后選擇“QQ”進(jìn)行登錄抓包分析�,很明顯這是一個(gè)POST的登錄表單,如下圖:
3gqmm.png (6.47 KB, 下載次數(shù): 864)
下載附件
3gqmm.png
2014-7-21 13:38 上傳
根據(jù)圖片的顯示我們不難看出�,在登錄3GQQ時(shí),你的密碼是以明文方式向騰訊服務(wù)器提交驗(yàn)證的(就是圖中的 pwd 999999999)�,數(shù)據(jù)傳輸過程中沒有任何的加密措施,如若直接在電腦端登錄使用�,由于PC網(wǎng)絡(luò)環(huán)境(包括內(nèi)外網(wǎng),而手機(jī)WAP端相對(duì)比較靠譜些)比較復(fù)雜�,極易造成密碼泄漏的風(fēng)險(xiǎn)。猜測這也是很多“手機(jī)黨”的Q友無緣無故密碼被盜的原因之一吧�。
2、然后再來對(duì)比測試一下3GQQ觸屏版的登錄過程�,為方便測試菲菲博客仍然借助火狐來截包分析,很簡單�,看圖:
md5mm.png (5.34 KB, 下載次數(shù): 893)
下載附件
md5mm.png
2014-7-21 13:38 上傳
從POST參數(shù)很明顯可以看到,通過觸屏版登錄手機(jī)騰訊網(wǎng)時(shí)�,密碼首先會(huì)在本地進(jìn)行32位md5加密后才會(huì)發(fā)送到遠(yuǎn)程驗(yàn)證的(如圖中標(biāo)注的 pmd5 C8C605999F3D8352D7BB792CF3FDB25B)。所以更加安全的選擇就是使用觸屏版咯�,這樣即便數(shù)據(jù)包被壞人截獲�,由于md5加密算法的特殊性�,對(duì)方也無法將密碼還原為明文(除非你的密碼過于簡單)�!痉品撇┛汀ぴ瓌(chuàng)文章】
遠(yuǎn)程控制軟件,灰鴿子下載 |
|
加載中...
發(fā)表于 2014-7-21 13:38:48
QQ好友和群
收藏
發(fā)表于 2014-7-26 12:52:21