momang 发表于 2009-9-24 01:55:55

QQ2009登录后,可以将密码穷举出来

腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
(见图001)
可以实现在不关闭QQ主程序的同时
锁定QQ的操作界面
(见图002)
在用户离开电脑前的时候
防止他们使用其QQ收发消息
(见图003)
当原始用户回到电脑前
可以输入密码,取消锁定
注意:此密码与QQ登录密码相同
(见图004)
此举在一定程度上保护了广大用户的隐私
使用户更安全 更放心的使用其产品
然后与此同时暴露出一些列其他安全问题
如锁定QQ的时候,仍然可以不登陆就访问腾讯的其他产品
如:QQ空间、腾讯拍拍、校友录,用户账户之类的。
不过腾讯很快修复了这个问题
在几个月后的QQ2009 SP4中修复了这些问题
(见图005)
然而一个更严重的问题
一直没有得到腾讯的重视
从SP2到SP4 一直没有解决
这个问题就是:
在用户解除锁定的时候,输入密码可以不断尝试
没有次数限制
(见图006)
这样就导致恶意用户
会反复尝试他人的密码
按照8位的纯数字密码来计算
不到5秒即可**
存在很大的安全隐患

另外:从表面上看
解除锁定的时候验证密码 应该是在客户端验证的
而没有通过服务器
那么是否在本地保存过密码?
通过什么方式保存在什么地方
其他人能不能在客户端**出密码?
图001


图002


图003


图004


图005


图006

不知道为什么 图片传不上来

wangxiaotang 发表于 2009-9-24 15:25:13

呵呵,如果图文结合,会让人更容易理解!!:lol

wangxiaotang 发表于 2009-9-24 15:27:01

不管沙发,板凳先抢了再说!!希望以后有更新!

默默巫 发表于 2009-9-25 18:03:45

原帖由 momang 于 2009-9-24 01:55 发表 http://bbs.51testing.com/images/common/back.gif
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
(见图001)
可以实现在不 ...
图片太大了?

momang 发表于 2009-9-26 23:23:04

不是太大了

是上传附件的时候 提示错误

风在吹 发表于 2009-9-27 10:14:23

回复 5# 的帖子

错误提示是什么?

m46102107 发表于 2009-9-30 13:57:32

我靠 ,果然有这等事情

puchonghui 发表于 2009-9-30 17:07:45

没看懂。。。。

lz的意思是说密码可以重试无数次?

pkncoin 发表于 2009-10-10 10:43:16

厉害~~

sxg_feixue 发表于 2009-11-16 22:59:11

不错哦,以后可以经常找BUG了

我是别人的马甲 发表于 2009-12-8 18:26:19

这么牛?

千里 发表于 2009-12-9 09:42:03

是有这么回事

TLover 发表于 2009-12-9 10:45:29

恩,重大发现..

281436802 发表于 2009-12-9 14:56:02

Lz很厉害啊。

park_p 发表于 2009-12-9 18:18:55

lz不会现在才知道吧,qq保存正确的秘密就是在本地的,只有首次登录通过服务器验证,以后验证就在本地产生的,目的好像是加快验证速度,以前就是这样的,现在不知道了是否还这样,老早登录qq的时候就发现这个问题了,这是很久以前的事了。

cheng515 发表于 2009-12-18 16:28:00

厉害~

majun915 发表于 2009-12-21 14:08:52

:victory: :victory:不错 很不错

yzylion 发表于 2009-12-21 15:33:45

确实不错

caoyuanxuelang 发表于 2009-12-31 08:41:21

居然存在这种问题

lt695981642 发表于 2010-1-9 10:44:31

5165165

25615165165156165121651516
页: [1] 2 3
查看完整版本: QQ2009登录后,可以将密码穷举出来