V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
shao
V2EX  ›  问与答

网路岗可截获QQ密码和聊天记录 WooYun-2012-05721 http://www.wooyun.org/bugs/wooyun-2010-05721 请问这是真的吗?

  •  
  •   shao · 2012-05-17 16:58:37 +08:00 · 4873 次点击
    这是一个创建于 4574 天前的主题,其中的信息可能已经有所发展或是发生改变。
    11 条回复    1970-01-01 08:00:00 +08:00
    lvdie
        1
    lvdie  
       2012-05-17 17:14:05 +08:00
    是真的~聊天记录可以完全调阅,密码既然能显示出前两位,那后面的应该也是记录了的。据说跟灰鸽子差不多
    binux
        2
    binux  
       2012-05-17 17:25:09 +08:00
    毕设的时候做过QQ协议分析,按照协议的原理来说,加密密钥使用的是用户密码(而且是二次MD5+盐)。除非知道密码的双方,根本不可能用过截获数据包获得密码。。

    一直不知道截获聊天内容和密码这是怎么做到的。
    flyingnn
        3
    flyingnn  
       2012-05-17 17:29:44 +08:00
    是真的了.
    flyingnn
        4
    flyingnn  
       2012-05-17 17:32:13 +08:00   ❤️ 1
    @binux 此次网络岗事件,是由于网络岗使用了中间人攻击:这个软件使QQ登陆时帐号异常,强迫用户去输入密码解锁,此时就完成了中间人攻击,QQ明文密码被截获到。然后软......
    binux
        5
    binux  
       2012-05-17 17:36:15 +08:00
    @flyingnn
    刚才看了。。。
    居然能中间人攻击,QQ居然能留下这样的漏洞。。
    又不是浏览器,随便收到个包就把明文密码发出去什么的,弱爆了啊!
    flyingnn
        6
    flyingnn  
       2012-05-17 17:42:12 +08:00
    @binux 安装在网关,它想做什么都可以了,所有的流量都经过它.
    shao
        7
    shao  
    OP
       2012-05-17 17:51:52 +08:00
    @flyingnn 原来如此, 明白了.
    binux
        8
    binux  
       2012-05-17 17:54:28 +08:00
    @flyingnn 但是如果QQ不是来一个包问密码就把密码交出去,也不会被监控了。比如登录过程本身是ok的。比如当登录异常需要密码挑战时,不使用明文密码。
    flyingnn
        9
    flyingnn  
       2012-05-17 22:45:21 +08:00
    @binux 那是QQ自身的功能设定问题了.
    MartianZ
        10
    MartianZ  
       2012-05-17 22:57:56 +08:00
    中间人攻击?就算是通过手段让客户端重新登录,也没道理QQ客户端重新开个协议发明文密码啊,直接在普通的登录协议里扩展不就好了,发明文密码这种弱智设定问题不可能出现吧。

    怀疑是木马手段,回来测试下
    lijia18
        11
    lijia18  
       2012-05-18 07:17:34 +08:00
    感觉如果腾讯加密了密码再传输的话比较困难,其他通信记录等很容易拿到。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.