51Testing软件测试论坛

标题: QQ2009登录后，可以将密码穷举出来 [打印本页]

作者: momang 时间: 2009-9-24 01:55
标题: QQ2009登录后，可以将密码穷举出来
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
（见图001）
可以实现在不关闭QQ主程序的同时
锁定QQ的操作界面
（见图002）
在用户离开电脑前的时候
防止他们使用其QQ收发消息
（见图003）
当原始用户回到电脑前
可以输入密码，取消锁定
注意：此密码与QQ登录密码相同
（见图004）
此举在一定程度上保护了广大用户的隐私
使用户更安全更放心的使用其产品
然后与此同时暴露出一些列其他安全问题
如锁定QQ的时候，仍然可以不登陆就访问腾讯的其他产品
如：QQ空间、腾讯拍拍、校友录，用户账户之类的。
不过腾讯很快修复了这个问题
在几个月后的QQ2009 SP4中修复了这些问题
（见图005）
然而一个更严重的问题
一直没有得到腾讯的重视
从SP2到SP4 一直没有解决
这个问题就是：
在用户解除锁定的时候，输入密码可以不断尝试
没有次数限制
（见图006）
这样就导致恶意用户
会反复尝试他人的密码
按照8位的纯数字密码来计算
不到5秒即可**
存在很大的安全隐患

另外：从表面上看
解除锁定的时候验证密码应该是在客户端验证的
而没有通过服务器
那么是否在本地保存过密码？
通过什么方式保存在什么地方
其他人能不能在客户端**出密码？
图001
[attach]56655[/attach]

图002
[attach]56656[/attach]

图003
[attach]56657[/attach]

图004
[attach]56658[/attach]

图005
[attach]56659[/attach]

图006
[attach]56660[/attach]
不知道为什么图片传不上来

作者: wangxiaotang 时间: 2009-9-24 15:25
呵呵，如果图文结合，会让人更容易理解！！

作者: wangxiaotang 时间: 2009-9-24 15:27
不管沙发，板凳先抢了再说！！希望以后有更新！

作者: 默默巫 时间: 2009-9-25 18:03

原帖由 momang 于 2009-9-24 01:55 发表
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
（见图001）
可以实现在不 ...

图片太大了？

作者: momang 时间: 2009-9-26 23:23
不是太大了

是上传附件的时候提示错误

作者: 风在吹 时间: 2009-9-27 10:14
标题: 回复 5# 的帖子
错误提示是什么？

作者: m46102107 时间: 2009-9-30 13:57
我靠，果然有这等事情

作者: puchonghui 时间: 2009-9-30 17:07
没看懂。。。。

lz的意思是说密码可以重试无数次？

作者: pkncoin 时间: 2009-10-10 10:43
厉害~~

作者: sxg_feixue 时间: 2009-11-16 22:59
不错哦，以后可以经常找BUG了

作者: 我是别人的马甲 时间: 2009-12-8 18:26
这么牛？

作者: 千里 时间: 2009-12-9 09:42
是有这么回事

作者: TLover 时间: 2009-12-9 10:45
恩，重大发现..

作者: 281436802 时间: 2009-12-9 14:56
Lz很厉害啊。

作者: park_p 时间: 2009-12-9 18:18
lz不会现在才知道吧，qq保存正确的秘密就是在本地的，只有首次登录通过服务器验证，以后验证就在本地产生的，目的好像是加快验证速度，以前就是这样的，现在不知道了是否还这样，老早登录qq的时候就发现这个问题了，这是很久以前的事了。

作者: cheng515 时间: 2009-12-18 16:28
厉害~

作者: majun915 时间: 2009-12-21 14:08

不错很不错

作者: yzylion 时间: 2009-12-21 15:33
确实不错

作者: caoyuanxuelang 时间: 2009-12-31 08:41
居然存在这种问题

作者: lt695981642 时间: 2010-1-9 10:44
标题: 5165165
25615165165156165121651516

作者: senzaier 时间: 2010-1-9 15:38
真有此事我说呢

作者: nobuo0908 时间: 2010-1-11 16:36
果然啊、、、很多功能没用过！

作者: wcpuid 时间: 2010-1-13 10:55
腾讯应该为你100W

作者: liangxianquan85 时间: 2010-1-18 10:33
现在锁定后，密码还是不限制输入的次数，

不过其他的修改了哦，看不到那些个BUG了

作者: 同同爱学习 时间: 2010-1-18 10:47

作者: ruirui。 时间: 2010-1-22 09:37

竟然是这样、。。。。。

作者: 鹭岛 时间: 2010-1-22 16:09
这样没什么意义，穷举法，如果难破点的，也要破几年

作者: angle-ying 时间: 2010-1-23 13:55
厉害高手

作者: freedom_me 时间: 2010-1-25 11:43
lz 是有心人哇~

作者: happy-richman 时间: 2010-1-28 10:50
楼主很专业啊，有前途

作者: yj_fx 时间: 2010-1-29 16:57
搞定一个手机绑定验证就行了，何必这么复杂呢

作者: 咕咕 时间: 2010-2-26 09:29
大家看书就好好的看，难道VB上架有错么？VB写这本书多么的不容易我想不用我在这里多说吧？以前没上架的时候，我支持着VB，上架了我还是支持着VB，有些人看书不要钱的时候，看的多么的起劲，等人家也该有回报的时候，这也都不可以？我还是那句话支持VB！！！

作者: yousee 时间: 2010-3-8 17:01
QQ密码是保存在本地哪个文件里面的啊？

作者: wangjun203 时间: 2010-3-18 17:04
把这个问题反馈给腾讯，很明显是个BUG嘛，就和使用网银一样，密码输入错误次数不能超过多少多少，这个改起来应该很简单。

作者: kaver 时间: 2010-3-23 10:53
学习了

作者: hzs0425 时间: 2010-3-23 17:56

作者: 吴限峰光 时间: 2010-3-25 09:21
厉害！还真没发现这个问题。。。
还好我很少用锁定功能
回头试试QQ2010是不是也这样

作者: huguxiang 时间: 2010-8-27 09:40
标题: 回复 5# 的帖子
肯定是格式错误了。有的格式不能上传吧

作者: lhylovexw 时间: 2010-9-28 17:59
有这样的问题，还没使用过QQ自动锁定功能

作者: shanshipxm 时间: 2010-9-29 15:25
5秒就能**个数字的密码？

作者: shanshipxm 时间: 2010-9-29 15:26
为什么我发**两字给变成星号？

作者: shanshipxm 时间: 2010-9-29 15:27
拼音：pojie
汉字pojie：** 破戒
符号（星符号）：**

作者: qinyouquan 时间: 2010-10-19 17:09

新人报到！
顶起！

作者: yemo666 时间: 2010-10-19 21:01
我想知道我们怎么**啊！！这个能教教小弟不！

作者: Angelia乖乖 时间: 2010-10-20 10:51
额~~ 我没有遇到过。。

作者: Lj_51Testing 时间: 2010-10-22 09:56
加个验证码

作者: lhylovexw 时间: 2010-10-25 18:19
呵呵，这个问题是挺严重的，，

作者: sweet.cat 时间: 2010-11-1 10:01
LZ 厉害啊！我完全不知道QQ还有锁定这个功能的....

作者: caiw0418 时间: 2010-11-2 18:14
哦
不懂

作者: msnshow 时间: 2010-11-3 08:47
早已不存在了

作者: 东方123小宝 时间: 2010-11-4 10:39
腾讯是存在这个问题，可以暴力攻击

作者: 龙影天子 时间: 2010-11-29 09:48
不过这中情况很少碰到啊，8位纯数字**还得依托软件啊

作者: shyboy2 时间: 2011-6-7 11:24

作者: sumiliy 时间: 2011-8-6 12:46
太牛了

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)