网易 52G 账户数据精准索引查询工具

2016-04-12 13:09:47 +08:00
 kirisetsz
也不是什么大新闻了。

http://bakatest.github.io/find-my-trousers/

(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)

52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1%—— 10000 次查询 1 次假阳性。

输入邮箱和密码,会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD

最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
10338 次点击
所在节点    分享创造
34 条回复
v1024
2016-04-12 13:17:50 +08:00
”输入邮箱和密码“

敢问楼主是在创造新库吗…
xiaoz
2016-04-12 13:20:05 +08:00
@v1024 +1 ,估计原本用户密码没有被泄露,通过这个一查,然后过几天泄露了。
jugelizi
2016-04-12 13:20:39 +08:00
@v1024 "会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了"
kirisetsz
2016-04-12 13:20:54 +08:00
@v1024 创建一个 (h1, h2, h3, h4, ..., h13) 不知道邮箱和密码的东西能叫库?
Moker
2016-04-12 13:31:03 +08:00
话说查是否蟹肉应该不用密码啊,没密码不影响结果啊
shinko
2016-04-12 13:34:38 +08:00
提供整理后的数据吗
kirisetsz
2016-04-12 13:35:32 +08:00
@Moker 改过密码的账户不知道泄漏的是改之前的还是改之后的密码,可以做二次查询嘛。
kirisetsz
2016-04-12 13:35:49 +08:00
@shinko 不提供,但是仓库里有脚本
iyaozhen
2016-04-12 13:40:15 +08:00
found: true 哎,果然中了

库应该就是 wooyun 那个时间点,因为之后改过密码,改过的密码没有中
shinko
2016-04-12 13:56:22 +08:00
@kirisetsz 看到了,谢谢
twor2
2016-04-12 14:01:15 +08:00
查询了好几个,都没有风险,好失落
ChenYounG
2016-04-12 14:12:40 +08:00
163password 那边查的已被爆,到楼主这边安全了
wahyd4
2016-04-12 14:19:35 +08:00
楼主在骗密码吧。
kirisetsz
2016-04-12 14:20:35 +08:00
@wahyd4 乃们说骗密码的麻烦耐心把帖子看完啦……
rock_cloud
2016-04-12 14:27:04 +08:00
布隆过滤器啊,放心了
Suclogger
2016-04-12 17:52:54 +08:00
很漂亮,想法也不错,赞一个
kaneyuki
2016-04-12 18:18:17 +08:00
额?出事之前的密码居然试了也没中。
能否做一个只检测邮箱的接口呢
21grams
2016-04-12 18:19:39 +08:00
懒得看代码确认是不是像楼主说的那样,所以保险起见还是不试了。
kirisetsz
2016-04-12 18:25:32 +08:00
@kaneyuki 只检测邮箱的话可以使用 https://163password.download (梯子),现在索引的邮箱是大小写敏感的,刚刚改了一下,正在更新索引+移动到服务器上,还有就是 JavaScript 实现的 hasher 对中文密码支持稍微有点问题,用 Unicode 密码可能是检索不到的,目前已知是这两个问题。

@21grams 可以试试 00@00.00 密码 0 开个控制台抓个包什么的,如果在 163password.download 没有命中邮箱的话确实没必要再用这个工具确认密码
newton108
2016-04-12 18:49:54 +08:00
从库里复制了几个邮箱查,全查不到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/270423

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX