QQ2009登录后，可以将密码穷举出来

momang · 发表于 2009-9-24 01:55:55

腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
（见图001）
可以实现在不关闭QQ主程序的同时
锁定QQ的操作界面
（见图002）
在用户离开电脑前的时候
防止他们使用其QQ收发消息
（见图003）
当原始用户回到电脑前
可以输入密码，取消锁定
注意：此密码与QQ登录密码相同
（见图004）
此举在一定程度上保护了广大用户的隐私
使用户更安全更放心的使用其产品
然后与此同时暴露出一些列其他安全问题
如锁定QQ的时候，仍然可以不登陆就访问腾讯的其他产品
如：QQ空间、腾讯拍拍、校友录，用户账户之类的。
不过腾讯很快修复了这个问题
在几个月后的QQ2009 SP4中修复了这些问题
（见图005）
然而一个更严重的问题
一直没有得到腾讯的重视
从SP2到SP4 一直没有解决
这个问题就是：
在用户解除锁定的时候，输入密码可以不断尝试
没有次数限制
（见图006）
这样就导致恶意用户
会反复尝试他人的密码
按照8位的纯数字密码来计算
不到5秒即可**
存在很大的安全隐患

另外：从表面上看
解除锁定的时候验证密码应该是在客户端验证的
而没有通过服务器
那么是否在本地保存过密码？
通过什么方式保存在什么地方
其他人能不能在客户端**出密码？
图001

图002

图003

图004

图005

图006

不知道为什么图片传不上来

sumiliy · 发表于 2011-8-6 12:46:08

太牛了

shyboy2 · 发表于 2011-6-7 11:24:59

龙影天子 · 发表于 2010-11-29 09:48:45

不过这中情况很少碰到啊，8位纯数字**还得依托软件啊

东方123小宝 · 发表于 2010-11-4 10:39:28

腾讯是存在这个问题，可以暴力攻击

msnshow · 发表于 2010-11-3 08:47:23

早已不存在了

caiw0418 · 发表于 2010-11-2 18:14:36

哦
不懂

sweet.cat · 发表于 2010-11-1 10:01:50

LZ 厉害啊！我完全不知道QQ还有锁定这个功能的....

lhylovexw · 发表于 2010-10-25 18:19:09

呵呵，这个问题是挺严重的，，

Lj_51Testing · 发表于 2010-10-22 09:56:41

加个验证码

Angelia乖乖 · 发表于 2010-10-20 10:51:10

额~~ 我没有遇到过。。

yemo666 · 发表于 2010-10-19 21:01:11

我想知道我们怎么**啊！！这个能教教小弟不！

qinyouquan · 发表于 2010-10-19 17:09:33

新人报到！
顶起！

shanshipxm · 发表于 2010-9-29 15:27:59

拼音：pojie
汉字pojie：** 破戒
符号（星符号）：**

shanshipxm · 发表于 2010-9-29 15:26:21

为什么我发**两字给变成星号？

shanshipxm · 发表于 2010-9-29 15:25:45

5秒就能**个数字的密码？

lhylovexw · 发表于 2010-9-28 17:59:35

有这样的问题，还没使用过QQ自动锁定功能

huguxiang · 发表于 2010-8-27 09:40:25

肯定是格式错误了。有的格式不能上传吧

吴限峰光 · 发表于 2010-3-25 09:21:19

厉害！还真没发现这个问题。。。
还好我很少用锁定功能
回头试试QQ2010是不是也这样

hzs0425 · 发表于 2010-3-23 17:56:18

		自动登录	找回密码
密码			(注-册)加入51Testing

QQ2009登录后，可以将密码穷举出来

本帖子中包含更多资源

相关帖子

回复 5# 的帖子

站长推荐 /1