网路岗可截获QQ密码和聊天记录 WooYun-2012-05721 http://www.wooyun.org/bugs/wooyun-2010-05721 请问这是真的吗?

lvdie

2012-05-17 17:14:05 +08:00

是真的~聊天记录可以完全调阅，密码既然能显示出前两位，那后面的应该也是记录了的。据说跟灰鸽子差不多

binux

2012-05-17 17:25:09 +08:00

毕设的时候做过QQ协议分析，按照协议的原理来说，加密密钥使用的是用户密码（而且是二次MD5+盐）。除非知道密码的双方，根本不可能用过截获数据包获得密码。。

一直不知道截获聊天内容和密码这是怎么做到的。

flyingnn

2012-05-17 17:32:13 +08:00

@binux 此次网络岗事件，是由于网络岗使用了中间人攻击：这个软件使QQ登陆时帐号异常，强迫用户去输入密码解锁，此时就完成了中间人攻击，QQ明文密码被截获到。然后软......

binux

2012-05-17 17:36:15 +08:00

@flyingnn
刚才看了。。。
居然能中间人攻击，QQ居然能留下这样的漏洞。。
又不是浏览器，随便收到个包就把明文密码发出去什么的，弱爆了啊！

flyingnn

2012-05-17 17:42:12 +08:00

@binux 安装在网关,它想做什么都可以了,所有的流量都经过它.

binux

2012-05-17 17:54:28 +08:00

@flyingnn 但是如果QQ不是来一个包问密码就把密码交出去，也不会被监控了。比如登录过程本身是ok的。比如当登录异常需要密码挑战时，不使用明文密码。

flyingnn

2012-05-17 22:45:21 +08:00

@binux 那是QQ自身的功能设定问题了.

MartianZ

2012-05-17 22:57:56 +08:00

中间人攻击？就算是通过手段让客户端重新登录，也没道理QQ客户端重新开个协议发明文密码啊，直接在普通的登录协议里扩展不就好了，发明文密码这种弱智设定问题不可能出现吧。

怀疑是木马手段，回来测试下

lijia18

2012-05-18 07:17:34 +08:00

感觉如果腾讯加密了密码再传输的话比较困难，其他通信记录等很容易拿到。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.