原始连接：http://www.netexpert.cn/viewthread.php?tid=1546

51期间，被公司要求研究OICQ的通讯协议，在对OICQ认证的分析过程中发现了一个严重的安全脆弱性隐患，导致黑客可以简单的通过网络数据抓包，破解整个局域网内的OICQ密码。

　　分析发现，OICQ在登陆过程中，尽管没有密码被直接传送的过程，整个会话认证过程密码始终在客户本地和服务端保留。但由于在登陆成功后，服务器返回的一个可以反向解码的加密字符成为了最薄弱的安全环节。

　　根据这个问题，5月1日编写的测试程序在1.4G，768M的平台上。在最大400秒的时间内，仅仅通过对网络数据包的抓取，远程分析出了网络上另一台计算机任意8位的OICQ数字密码，具体效果可以查看动画演示: http://www.geforce.com.cn/researchlab/qq.html

    和腾讯OICQ传统安全问题相比，这个脆弱性隐患无需在受害人电脑安装任何软件，黑客仅仅需要在自己的电脑上运行程序，既可以直接破解网络中其他用户的OICQ账号,窃听用户聊天内容，造成个人隐私的泄漏。

　　此问题出现在OICQ2001以上的版本之中，使用这些版本的用户，建议您修改数字密码，采用更复杂的密码组合，避免可能的安全隐患。
PS:本文虽然仅提到QQ2001，但我发现本文作者在CSDN很隐蔽很隐蔽的地方说这个问题在2005版中是同样存在的，但是作者不愿意公布测试程序，谁有兴趣的自己抓包研究一下咯

相关关键字: QQ密码 OICQ 隐患

动画演示
http://www.geforce.com.cn/researchlab/qq.html

这也加精？去年的东西．．发在业界前瞻...还加了精华，我晕....

这个版面是新闻版面 也是相当于资料收集 加精的目的是为了避免这主题不被批量删除 因为还要研究

业界前瞻{ News and Reports }  不属于技术区; 精华主题算不了什么,只能当个醒目标志吧

有着平凡学习的心; 希望前辈们多多指点;

引用:

这里是引用第[4 楼]的skyhigh于2006-05-07 11:33发表的：
有着平凡学习的心; 希望前辈们多多指点;

学习就学习啦，不要喊得好像要人人都知道一样。。。

   帮忙测试引用滴~~~

用户修改密码?好象是抓取了修改密码的返回数据

引用:

这里是引用第[6 楼]的ghostsun于2006-05-24 21:15发表的：
用户修改密码?好象是抓取了修改密码的返回数据

感觉是这样

[s:71] .................................

好玩。

呵呵 10000的密码是多少呀？

QQ密码是两次MD5加密的还有一次什么什么加密..... [s:75]

引用:

这里是引用第[10 楼]的俺村俺最猛于2006-10-07 15:33发表的：
呵呵 10000的密码是多少呀？

这个马化腾最清楚，另外的知道密码的人，就是我们可爱的朽木兄弟...
[s:66]  [s:66]

应该是比较早的事情了吧。

看是看了,可还是不会.

http://www.geforce.com.cn打不开了。呵呵。netexpert也是转贴的。

精品是应该的 确实不错！好东西就值得表扬！

晕``不是吧```没有绝对的安全```

不知道 这是哪年的东西了 我来灌水 想发文章 告诉偶等级不够!!哭了!!1

看看吧 学习

腾讯赚我们的也赚得多了   有人黑他也算正常

枪打出头鸟啊!!!!

现在应该不可以了吧……

学习下 [s:34]

QQ密码还是加保护安全。