邪恶八进制信息安全团队技术讨论组 » 业界新闻快报{ News and Reports } » [转载]400秒远程攻破你的QQ密码 OICQ存在安全隐患 [查看完整版本]

EvilOctal 2006-4-11 15:00

[转载]400秒远程攻破你的QQ密码 OICQ存在安全隐患

原始连接：[url]http://www.netexpert.cn/viewthread.php?tid=1546[/url]

51期间，被公司要求研究OICQ的通讯协议，在对OICQ认证的分析过程中发现了一个严重的安全脆弱性隐患，导致黑客可以简单的通过网络数据抓包，破解整个局域网内的OICQ密码。

　　分析发现，OICQ在登陆过程中，尽管没有密码被直接传送的过程，整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后，服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。

　　根据这个问题，5月1日编写的测试程序在1.4G，768M的平台上。在最大400秒的时间内，仅仅通过对网络数据包的抓取，远程分析出了网络上另一台计算机任意8位的OICQ数字密码，具体效果可以查看动画演示: [url]http://www.geforce.com.cn/researchlab/qq.html[/url]

    和腾讯OICQ传统安全问题相比，这个脆弱性隐患无需在受害人电脑安装任何软件，黑客仅仅需要在自己的电脑上运行程序，既可以直接破解网络中其他用户的OICQ账号,窃听用户聊天内容，造成个人隐私的泄漏。

　　此问题出现在OICQ2001以上的版本之中，使用这些版本的用户，建议您修改数字密码，采用更复杂的密码组合，避免可能的安全隐患。
PS:本文虽然仅提到QQ2001，但我发现本文作者在CSDN很隐蔽很隐蔽的地方说这个问题在2005版中是同样存在的，但是作者不愿意公布测试程序，谁有兴趣的自己抓包研究一下咯

相关关键字: QQ密码 OICQ 隐患

动画演示
[url]http://www.geforce.com.cn/researchlab/qq.html[/url]

ruler 2006-4-11 17:41

这也加精？去年的东西．．发在业界[color=red]前瞻[/color]...还加了精华，我晕....

EvilOctal 2006-4-11 20:22

这个版面是新闻版面 也是相当于资料收集 加精的目的是为了避免这主题不被批量删除 因为还要研究

pub!1c 2006-4-11 20:47

业界前瞻{ News and Reports }  不属于技术区; 精华主题算不了什么,只能当个醒目标志吧

skyhigh 2006-5-7 11:33

有着平凡学习的心; 希望前辈们多多指点;

cwa 2006-5-7 13:07

[quote][b]这里是引用第[/b][color=#ff0000][4 楼][/color][b]的[color=#000066]skyhigh[/color]于[/b]2006-05-07 11:33[b]发表的：[/b]
有着平凡学习的心; 希望前辈们多多指点;[/quote]
  学习就学习啦，不要喊得好像要人人都知道一样。。。

   帮忙测试引用滴~~~

ghostsun 2006-5-24 21:15

用户修改密码?好象是抓取了修改密码的返回数据

slainlost 2006-6-11 04:06

[quote][b]这里是引用第[/b][color=#ff0000][6 楼][/color][b]的[color=#000066]ghostsun[/color]于[/b]2006-05-24 21:15[b]发表的：[/b]
用户修改密码?好象是抓取了修改密码的返回数据[/quote]
感觉是这样

final 2006-9-26 00:54

[s:71] .................................

tlhelen 2006-9-27 11:26

好玩。

俺村俺最猛 2006-10-7 15:33

呵呵 10000的密码是多少呀？

酷似小涣猪 2006-10-8 06:09

QQ密码是两次MD5加密的还有一次什么什么加密..... [s:75]

asm 2006-10-8 06:13

[quote][b]这里是引用第[/b][color=#ff0000][10 楼][/color][b]的[color=#000066]俺村俺最猛[/color]于[/b]2006-10-07 15:33[b]发表的：[/b]
呵呵 10000的密码是多少呀？[/quote]


这个马化腾最清楚，另外的知道密码的人，就是我们可爱的朽木兄弟...
[s:66]  [s:66]

netbud 2006-10-12 18:04

应该是比较早的事情了吧。

obule 2006-10-29 00:49

看是看了,可还是不会.

aaaaqw 2006-11-19 21:46

[url]http://www.geforce.com.cn[/url]打不开了。呵呵。netexpert也是转贴的。

aqjazz 2006-11-19 22:07

精品是应该的 确实不错！好东西就值得表扬！

nara0521 2006-11-25 11:18

晕``不是吧```没有绝对的安全```

dqhack 2006-11-26 03:34

不知道 这是哪年的东西了 我来灌水 想发文章 告诉偶等级不够!!哭了!!1

pizarro 2006-12-7 22:26

看看吧 学习

65535 2006-12-15 12:29

腾讯赚我们的也赚得多了   有人黑他也算正常

ksharp 2007-1-11 00:01

枪打出头鸟啊!!!!

野菜 2007-1-11 09:22

现在应该不可以了吧……

langhuan1 2007-1-11 10:49

学习下 [s:34]

宇哥 2007-1-11 11:03

QQ密码还是加保护安全。

lzhlatter 2007-1-11 15:38

值得表扬~！提高警惕先

lhylhy 2007-1-11 17:10

看看吧 学习

卡拉阿风 2007-1-11 17:48

怎么都说起来怎么悬乎呢

hugohugh 2007-1-11 19:23

如果真的破解TX就有官司了··

eastsea 2007-1-11 19:31

看来ＴＸ也不安全了

zq888 2007-1-11 20:47

好恐怖啊．．．

惊蛰 2007-1-15 18:38

攻破了吗？是任何人的都可以吗？呵呵，

aduzi 2007-1-15 21:28

学习下 可是没有工具怎么测试呢？

午夜游魂 2007-1-18 23:07

呵呵,好办法,正好缺一个五位的 [s:39]  [s:39]

tease 2007-1-21 17:02

学习中.....

money5588 2007-1-23 23:03

看看先,嘿嘿~~~

小白羊 2007-2-11 22:40

学习学习。

june 2007-2-12 12:22

顶!!!我来!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

qqpoly 2007-2-24 10:31

本来Q**的提供者就很无聊的。什么也收费，现在爆在V***系统上无法运行。还不知道以后给我们惹多少麻烦！！！

因此，这些都是正常的哦！！

我已经半年多不用QQ了！

也不知道号码被删除了吗？话说回来删除了也不可惜！！ [s:35]

孤单在湖边 2007-2-24 16:14

很恐怖呵,
以前都没听说过...

watsy 2007-2-25 08:29

不知道自己说错什么话了。。删了我帖子还扣威望。。我还想发文章的。。。

一得 2007-2-25 16:23

想知道怎么弄，看看动画吧。

txcbg 2007-2-26 14:05

好老的东西了.

tianyaxin55 2007-2-26 19:53

看的不太明白　　　不过真有这么厉害吗？　　　

jack229 2007-2-26 21:57

不过真的是要注意

≮雷☆☆雨≯ 2007-2-26 23:20

TX如果这么不安全是不是早被爆破了?

nbl99 2007-2-27 14:25

攻破QQ密码本来就不用那么复杂了……废脑筋啊

anhaonan 2007-2-28 00:30

我靠啊

anhaonan 2007-2-28 00:30

[s:36]  [s:36]  [s:36]  [s:36]  [s:36]

pppkq 2007-3-5 11:51

谢谢楼主提醒  支持一个 呵呵

查看完整版本: [转载]400秒远程攻破你的QQ密码 OICQ存在安全隐患

© 1999-2008 EvilOctal Security Team