QQ2009登录后，可以将密码穷举出来

momang · 发表于 2009-9-24 01:55:55

腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
（见图001）
可以实现在不关闭QQ主程序的同时
锁定QQ的操作界面
（见图002）
在用户离开电脑前的时候
防止他们使用其QQ收发消息
（见图003）
当原始用户回到电脑前
可以输入密码，取消锁定
注意：此密码与QQ登录密码相同
（见图004）
此举在一定程度上保护了广大用户的隐私
使用户更安全更放心的使用其产品
然后与此同时暴露出一些列其他安全问题
如锁定QQ的时候，仍然可以不登陆就访问腾讯的其他产品
如：QQ空间、腾讯拍拍、校友录，用户账户之类的。
不过腾讯很快修复了这个问题
在几个月后的QQ2009 SP4中修复了这些问题
（见图005）
然而一个更严重的问题
一直没有得到腾讯的重视
从SP2到SP4 一直没有解决
这个问题就是：
在用户解除锁定的时候，输入密码可以不断尝试
没有次数限制
（见图006）
这样就导致恶意用户
会反复尝试他人的密码
按照8位的纯数字密码来计算
不到5秒即可**
存在很大的安全隐患

另外：从表面上看
解除锁定的时候验证密码应该是在客户端验证的
而没有通过服务器
那么是否在本地保存过密码？
通过什么方式保存在什么地方
其他人能不能在客户端**出密码？
图001

图002

图003

图004

图005

图006

不知道为什么图片传不上来

wangxiaotang · 发表于 2009-9-24 15:25:13

呵呵，如果图文结合，会让人更容易理解！！

wangxiaotang · 发表于 2009-9-24 15:27:01

不管沙发，板凳先抢了再说！！希望以后有更新！

默默巫 · 发表于 2009-9-25 18:03:45

原帖由 momang 于 2009-9-24 01:55 发表
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
（见图001）
可以实现在不 ...

图片太大了？

momang · 发表于 2009-9-26 23:23:04

不是太大了

是上传附件的时候提示错误

风在吹 · 发表于 2009-9-27 10:14:23

错误提示是什么？

m46102107 · 发表于 2009-9-30 13:57:32

我靠，果然有这等事情

puchonghui · 发表于 2009-9-30 17:07:45

没看懂。。。。

lz的意思是说密码可以重试无数次？

pkncoin · 发表于 2009-10-10 10:43:16

厉害~~

sxg_feixue · 发表于 2009-11-16 22:59:11

不错哦，以后可以经常找BUG了

我是别人的马甲 · 发表于 2009-12-8 18:26:19

这么牛？

千里 · 发表于 2009-12-9 09:42:03

是有这么回事

TLover · 发表于 2009-12-9 10:45:29

恩，重大发现..

281436802 · 发表于 2009-12-9 14:56:02

Lz很厉害啊。

park_p · 发表于 2009-12-9 18:18:55

lz不会现在才知道吧，qq保存正确的秘密就是在本地的，只有首次登录通过服务器验证，以后验证就在本地产生的，目的好像是加快验证速度，以前就是这样的，现在不知道了是否还这样，老早登录qq的时候就发现这个问题了，这是很久以前的事了。

cheng515 · 发表于 2009-12-18 16:28:00

厉害~

majun915 · 发表于 2009-12-21 14:08:52

不错很不错

yzylion · 发表于 2009-12-21 15:33:45

确实不错

caoyuanxuelang · 发表于 2009-12-31 08:41:21

居然存在这种问题

lt695981642 · 发表于 2010-1-9 10:44:31

25615165165156165121651516

		自动登录	找回密码
密码			(注-册)加入51Testing

QQ2009登录后，可以将密码穷举出来

本帖子中包含更多资源

相关帖子

回复 5# 的帖子

5165165

站长推荐 /1