鲁夫的爱

标签存档: md5

关于明文密码的保存,新浪为什么要撒谎

IN:小小极客   Tags: , , , ,    评论: 14

2012年的第一天,自号网络游侠的白帽黑客张百川发现了新浪网iask的SQL注入漏洞,读取出了数据库内的用户账号和明文密码,并用刘谦的新浪微博账号发布了一条微博作为攻击演示。由于这个漏洞存在的时间可能比较长久,我们不能排除恶意攻击者已经获取大量新浪账号却秘而不宣的可能性。

csdn和天涯泄露千万密码之后,说明情况,认错道歉,保证今后改正,网民们看了顶多抱怨两句,也没有非要网站赔偿什么,这两个网站也还能保持着比较高的人气。可就是面对着如此宽容大度的中国网民,新浪还要睁着眼睛撒谎,坚称其用户密码是密文保存的。张百川发现的这个漏洞就像一记清脆的耳光,狠狠地甩了新浪一巴掌:叫你丫撒谎,pia死你。
继续阅读 »

01-07
2012

天涯泄露4000万用户的密码,我终于中枪了

IN:小小极客   Tags: , , , ,    评论: 23

天涯泄密,劳资中枪

之前泄露的csdn和人人网用户数据库里都没有我的帐号邮箱,让我很惴惴不安,这密码到底是丢了没丢呢?现在天涯泄露了4000万对用户名密码,我终于结结实实地中枪了。

天涯数据.kz 下下来,是个奇怪的压缩文件,需要用国产软件快压来解压,可我一点也不想安装这个“免费、方便、快速的压缩和解压缩利器,拥有一流的压缩技术,是国内第一款具备自主压缩格式的软件”。
快压此前一直是非常小众的压缩软件,现在攻击者偏巧使用了这么冷门的自主压缩格式,而快压也很配合地在cnbeta上发表《KZ格式用什么解压?》一文来推广自己,这不得不让人怀疑快压在此次泄密事件中扮演的角色。

按照老规矩,出动sandboxie,在沙盘里安装快压,解压.kz文件,清空沙盘,这个“国内第一款具备自主压缩格式的软件”就从我的硬盘上滚蛋了lol。
在这里顺带提醒一句:请各位同学在任何情况下都不要尝试360压、好压、快压等国产压缩软件,如果不得不用,像我这样在sandboxie里安装运行,用完即删。

解压出来一共50个txt文件,卧槽,这找起一个id来得多麻烦啊,我们用cat把这些txt合并到一个文件里。

cat *.txt>all.txt

据说泄露了4000万,但我这怎么只算出来3000万多一点点?

wc -l all.txt
31761424 all.txt

继续阅读 »

12-25
2011

IT人士对用户密码安全问题的常见误解

IN:小小极客   Tags: , , ,    评论: 5

此次国内网站用户数据库大规模泄露事件,暴露出来的不仅仅是几个网站的安全问题,更让我们看清了不少所谓软件工程师的缺陷:缺乏常识。下面我们总结一下,事件中的各方人士到底在多少基本常识上犯了错误。
当然我很有自知之明,我这样一个业余脚本员、IT门外汉,斗起胆子来点评专业IT从业者的不是,认识必然不够深入,言辞必然会犯不少错误。但幸好我的姿态比他们低,我不会打肿脸充胖子,如果任何人发现我有任何不足,请及时告诉我,我不想一直一直犯同一个错误:)
继续阅读 »

12-24
2011

新浪微博也泄露了用户密码的hash

IN:小小极客   Tags: , , , ,    评论: 1

update 2012-01-07: 有证据指出新浪明文存储用户密码,并有可能大规模泄露
update 2012-01-05: 文中所提到的weibo.com_12160.dbh 被怀疑是人人网伪造的数据库,并非来自新浪微博。主要论据不可靠,故标题及正文中所提到的有关新浪微博泄露用户密码hash的任何结论都是不正确的。

前面说到,人人网泄露的是用户密码的hash,现在我们拿到一个 weibo.com_12160.dbh ,用同样的方法进行分析,得到同样的结论:weibo.com_12160.dbh 里的密码来自hash碰撞。

D:\Downloads\weibo.com_12160\weibo.com_12160>grep -i -P "\s+null$" weibo.com_12160.dbh|wc -l
4001

跟人人网差不多,正好也是4000多条,好奇怪。

ps. 这两篇对泄漏数据库的分析和结论都需要一个前提:这两个数据库必须是真实有效的。到目前为止人人网和新浪微博都没承认用户数据库泄漏,而我也没办法确认数据库的来源,所以这两篇文章里所说的某网站存储用户密码hash、某网站泄露用户密码hash等结论都只是可能成立。

12-23
2011

虚伪的加密——金山的“密码泄露快速查询”

IN:小小极客   Tags: , , ,    评论: 7

最早是在人人网上看到有同学谈论金山的这个“密码泄露快速查询”网页,我没有太在意。刚看到cnbeta有报道,我决定一探究竟。

打开地址http://cs-test.ijinshan.com/security/,网页载入挺快,但验证码载入非常慢,还经常载入失败,看来某些人的负载做得实在失败呀。

金山密码泄露快速查询网页载入速度

金山密码泄露快速查询网页载入速度


继续阅读 »

12-23
2011

我认为人人网没有明文存储用户密码

IN:小小极客   Tags: , , , ,    评论: 4

update 2012-01-07: 人人网大规模泄露用户密码之后的肮脏手段

CSDN等网站用户数据库泄漏事件

据solidot报道,CSDN、多玩游戏、7K7K小游戏、178.com、人人网、开心网、天涯社区、世纪佳缘、百合网、美空等网站的用户数据库被泄,我更关心的是CSDN和人人网。CSDN尤其令我忧心忡忡,因为我记得注册CSDN时它不让我使用弱密码,却忘记了自己当时使用了什么密码(对,有些网站注定是用来遗忘的)。在泄漏的CSDN数据库里找不到我常用的邮箱,这并没有让我松一口气,我不喜欢这种不确定的感觉。

人人网有没有明文存储用户密码

CSDN 无疑是明文存储了用户密码,在数据库里我们甚至能看到“我先去吃飯了,等會回來”、“我拉著線復習你給的溫柔”、“所謂典型局域網就是指由一台具備三層交換功”这样的中文密码。那么人人网呢?下面我们拿"人人网500W_16610.rar"做一个实验: 继续阅读 »

12-22
2011

无觅相关文章插件,快速提升流量

loading...