|
作者: jwm3337 [jwm3337] 论坛用户 | 登录 |
骇客技术普照天下以后,我丢了4个QQ 1个ICQ 1个信箱,不知骇客技术,精神的推广是利大还是弊大,经过推敲,揣测,明白如此的普度众生可以间接提高网络认的安全意识,至少白痴密码是不会大量繁衍啦。就在杀机四起的网吧,我时时担心木马,SNIFFE一类的东东窥视我这个美少男,便自作聪明把密码改作特殊符号:★★★★★★★,这样很少人会猜出我的密码啦,键盘记录也只能记录:CRTL-C……LEFT MOUSE……CRTL-V。某日一次登录邮箱,不小心多CRTL-V了几下意料外的登陆成功 这使我狐疑,不知数据库验证时对特殊符号敏感还是对连续字符敏感,便作了个小试验: EYOU网站:我申请了信箱,密码为★★★★★★★, 登录:在密码框里输入:1--5个★,提示密码错误 6--?个★,登录成功; 21CN网站:信箱密码我改为★★★★★★★, 登录:在密码框里输入:1--5个★,提示密码错误 6--?个★,登录成功。 潜意识中的扩散思维迫使我继续试验,这次我的矛头指向是否对连续单一字符的验证有问题。 EYOU网站:我把密码改为10个“E” 登录:在密码框里输入:1--5个“E”,提示密码错误,6--?个“E”登录成功; 21CN网站:信箱密码改成若干个单一字符(五个以上) 登录:在密码框里输入:1--5个该字符,提示密码错误,6--?个该字符,登录成功。 虽然没什么太大的危害(很少会有人将自己的密码作成若干个单一字符),但觉得还是说出来好,由于我不是专搞数据库的,这方面没什么才赋,便将此事EMAIL给**网站管理员,……两个月后……我的信箱空空如野,也许网管大人很忙(盲),日理万机,每天接到上百封邮件,没时间对这个小东西大做文章或看不到,都可以理解! 我联想到QQ四月中的江湖告急(就是那个QQ前可以加若干0也能登录的漏洞),我是这样作的,在登录QQ时在QQ后面加上特殊字符,登录成功,如图(1),标题也发生改变,接着我试着在QQ后加上其他字符(数字除外),直接打不上去,尽管是字母。可以在别的地方打好,然后CTRL-C ……CTRL-V上去,登录成功QQ标题栏就变成如图(2),怎样,不用什么TRW2000设断点改变量也可以改QQ标题了。 见过如图(3)这样的QQ么,很拽吧,其实是骗人的,上不了线,怎样得到它呢,在登陆时发生的一个小错误,首先把自己的号在本地机上注册一下,然后删掉腾讯目录中你的号的目录,在运行QQ主程序,看到自己的号还健在,输入密码登陆(不是注册那种的),然后会提示如图(4),点击“是”,开始验证,验证成功,返回,就得到如图(3)! 写在末尾,这些东西都涉及到两个字,就是“验证”,邮箱密码单一连续字符的漏洞是数据库的验证问题,QQ的也许就是软件本身的识别问题,,因为在网络中是看不到你对QQ作的手脚,这些只能哄哄自己的眼睛,聊以自慰吧!我偶尔在拿朋友老爷车时代的诺基亚5110乱拨时,发现拨打1861******1861也能打通,星号后的东东都自动过滤掉了,也许也是一种识别问题吧!鄙人不才,望诸NET FANS与鄙人交流, |
地主 发表时间: 09/21 12:57 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号