51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 20144|回复: 53
打印 上一主题 下一主题

QQ2009登录后,可以将密码穷举出来

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2009-9-24 01:55:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
缺陷描述
被测试软件名称及版本: QQ2009
软件类别: 即时通讯类
软件地址: im.qq.com
操作系统及版本: windows
浏览器平台及版本: SP3 SP4
软件开发语言: 不晓得
缺陷类型: 安全性缺陷
缺陷等级: 一般
缺陷简要描述: 待续
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
(见图001)
可以实现在不关闭QQ主程序的同时
锁定QQ的操作界面
(见图002)
在用户离开电脑前的时候
防止他们使用其QQ收发消息
(见图003)
当原始用户回到电脑前
可以输入密码,取消锁定
注意:此密码与QQ登录密码相同
(见图004)
此举在一定程度上保护了广大用户的隐私
使用户更安全 更放心的使用其产品
然后与此同时暴露出一些列其他安全问题
如锁定QQ的时候,仍然可以不登陆就访问腾讯的其他产品
如:QQ空间、腾讯拍拍、校友录,用户账户之类的。
不过腾讯很快修复了这个问题
在几个月后的QQ2009 SP4中修复了这些问题
(见图005)
然而一个更严重的问题
一直没有得到腾讯的重视
从SP2到SP4 一直没有解决
这个问题就是:
在用户解除锁定的时候,输入密码可以不断尝试
没有次数限制
(见图006)
这样就导致恶意用户
会反复尝试他人的密码
按照8位的纯数字密码来计算
不到5秒即可**
存在很大的安全隐患

另外:从表面上看
解除锁定的时候验证密码 应该是在客户端验证的
而没有通过服务器
那么是否在本地保存过密码?
通过什么方式保存在什么地方
其他人能不能在客户端**出密码?
图001


图002


图003


图004


图005


图006

不知道为什么 图片传不上来

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2009-9-24 15:25:13 | 只看该作者
呵呵,如果图文结合,会让人更容易理解!!
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2009-9-24 15:27:01 | 只看该作者
不管沙发,板凳先抢了再说!!希望以后有更新!
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2009-9-25 18:03:45 | 只看该作者
原帖由 momang 于 2009-9-24 01:55 发表
腾讯旗下的QQ
目前是市场上用户量最多的即时通讯软件
随着用户量的急速上升
扩展应用也不断增加
同时也面临频繁发生的安全问题
腾讯在QQ2009 SP2版本开始
加入了一项全新的锁定功能
(见图001)
可以实现在不 ...

图片太大了?
回复 支持 反对

使用道具 举报

该用户从未签到

5#
 楼主| 发表于 2009-9-26 23:23:04 | 只看该作者
不是太大了

是上传附件的时候 提示错误
回复 支持 反对

使用道具 举报

  • TA的每日心情

    2019-1-24 10:32
  • 签到天数: 17 天

    连续签到: 1 天

    [LV.4]测试营长

    6#
    发表于 2009-9-27 10:14:23 | 只看该作者

    回复 5# 的帖子

    错误提示是什么?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7#
    发表于 2009-9-30 13:57:32 | 只看该作者
    我靠 ,果然有这等事情
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2020-8-11 08:18
  • 签到天数: 114 天

    连续签到: 1 天

    [LV.6]测试旅长

    8#
    发表于 2009-9-30 17:07:45 | 只看该作者
    没看懂。。。。

    lz的意思是说密码可以重试无数次?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2009-10-10 10:43:16 | 只看该作者
    厉害~~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    10#
    发表于 2009-11-16 22:59:11 | 只看该作者
    不错哦,以后可以经常找BUG了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2009-12-8 18:26:19 | 只看该作者
    这么牛?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2021-6-9 14:08
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    12#
    发表于 2009-12-9 09:42:03 | 只看该作者
    是有这么回事
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2009-12-9 10:45:29 | 只看该作者
    恩,重大发现..
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    14#
    发表于 2009-12-9 14:56:02 | 只看该作者
    Lz很厉害啊。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2009-12-9 18:18:55 | 只看该作者
    lz不会现在才知道吧,qq保存正确的秘密就是在本地的,只有首次登录通过服务器验证,以后验证就在本地产生的,目的好像是加快验证速度,以前就是这样的,现在不知道了是否还这样,老早登录qq的时候就发现这个问题了,这是很久以前的事了。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    16#
    发表于 2009-12-18 16:28:00 | 只看该作者
    厉害~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2009-12-21 14:08:52 | 只看该作者
      不错 很不错
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    18#
    发表于 2009-12-21 15:33:45 | 只看该作者
    确实不错
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    19#
    发表于 2009-12-31 08:41:21 | 只看该作者
    居然存在这种问题
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    20#
    发表于 2010-1-9 10:44:31 | 只看该作者

    5165165

    25615165165156165121651516
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-8 12:01 , Processed in 0.084190 second(s), 30 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表