微信爆出惊人安全漏洞 马化腾柳岩等人被袭

安全
目前随着互联网SNS的热潮和3G普及,人与人之间沟通方式越来越多样化。但是其中也爆出了大量的安全问题,集中反映出互联网产品安全防护的滞后以及网友计算机水平提升。

目前随着互联网SNS的热潮和3G普及,人与人之间沟通方式越来越多样化。但是其中也爆出了大量的安全问题,集中反映出互联网产品安全防护的滞后以及网友计算机水平提升。目前被广泛使用的微信就中招,一位来自WooYun的强力网友对微信进行了破解,最终在微信找回密码环节发现了漏洞。

微信爆出惊人安全漏洞 马化腾柳岩等人被袭

该网友通过抓包的方式获取微信反馈的信息包,解包之后发现微信使用的是检验手机号码+验证码的机制进行密码重置,数据包未经加密,内容公开且数据包可以轻易被伪造。经过研究和确认,只要得到正确的验证码,即可对微信密码进行重置。而为了安全起见,微信设置了频繁提交校验机制。这样就确认了破解存在的两个难点,第一自然是如何获取正确的校验码,第二则是穷举的障碍:校验码提交次数限制。

经过研究发现,微信服务器对于频繁提交次数的限制是通过手机号码+一位数字验证的,但可以通过特殊方式破解提交次数限制,反复提交。这样便打通了使用穷举法进行破解的途径,剩下的穷举验证码的步骤就简单多了。

微信爆出惊人安全漏洞 马化腾柳岩等人被袭

该网友进一步发现了微信验证码的取值范围,通过穷举法只用3分钟便攻破微信。最后该网友通过该方法获得柳岩经纪人的微信号码,再通过离线信息获得了柳岩的QQ号码;并攻破另一位腾讯高管的微信,假借其名义向马化腾发送了一条微信留言。

限于微信安全性以及道德原因,本新闻不公布具体破解流程。

责任编辑:蓝雨泪 来源: 天极网
相关推荐

2012-05-22 20:46:57

2014-04-09 15:38:09

2015-01-29 11:15:35

2009-05-19 16:45:15

Linux安全漏洞补丁

2020-07-09 15:13:07

漏洞Spring ClouTomcat

2009-02-03 09:01:40

2015-08-26 10:14:29

2023-03-09 07:56:08

2015-05-08 12:11:14

2021-06-03 10:44:54

漏洞网络安全网络攻击

2010-07-26 15:37:12

telnet安全漏洞

2015-11-11 17:20:48

2019-09-18 16:15:05

马化腾腾讯微信

2014-06-03 09:23:41

2015-03-06 10:00:16

微信马化腾创业

2014-06-03 11:36:18

2009-03-07 09:59:16

2011-12-26 11:22:48

2020-10-09 09:52:00

漏洞分析

2021-05-12 10:46:23

漏洞BINDDNS服务器
点赞
收藏

51CTO技术栈公众号