微信爆出惊人安全漏洞 马化腾柳岩等人被袭
- +1 你赞过了
【雷竞技须安全稳定 网络频道】目前随着互联网SNS的热潮和3G普及,人与人之间沟通方式越来越多样化。但是其中也爆出了大量的安全问题,集中反映出互联网产品安全防护的滞后以及网友计算机水平提升。目前被广泛使用的微信就中招,一位来自WooYun的强力网友对微信进行了破解,最终在微信找回密码环节发现了漏洞。
该网友通过抓包的方式获取微信反馈的信息包,解包之后发现微信使用的是检验手机号码+验证码的机制进行密码重置,数据包未经加密,内容公开且数据包可以轻易被伪造。经过研究和确认,只要得到正确的验证码,即可对微信密码进行重置。而为了安全起见,微信设置了频繁提交校验机制。这样就确认了破解存在的两个难点,第一自然是如何获取正确的校验码,第二则是穷举的障碍:校验码提交次数限制。
经过研究发现,微信服务器对于频繁提交次数的限制是通过手机号码+一位数字验证的,但可以通过特殊方式破解提交次数限制,反复提交。这样便打通了使用穷举法进行破解的途径,剩下的穷举验证码的步骤就简单多了。
该网友进一步发现了微信验证码的取值范围,通过穷举法只用3分钟便攻破微信。最后该网友通过该方法获得柳岩经纪人的微信号码,再通过离线信息获得了柳岩的QQ号码;并攻破另一位腾讯高管的微信,假借其名义向马化腾发送了一条微信留言。
限于微信安全性以及道德原因,本新闻不公布具体破解流程。
最新资讯
热门视频
新品评测