鲁夫的爱

标签存档: 新浪微博

关于明文密码的保存,新浪为什么要撒谎

IN:小小极客   Tags: , , , ,    评论: 14

2012年的第一天,自号网络游侠的白帽黑客张百川发现了新浪网iask的SQL注入漏洞,读取出了数据库内的用户账号和明文密码,并用刘谦的新浪微博账号发布了一条微博作为攻击演示。由于这个漏洞存在的时间可能比较长久,我们不能排除恶意攻击者已经获取大量新浪账号却秘而不宣的可能性。

csdn和天涯泄露千万密码之后,说明情况,认错道歉,保证今后改正,网民们看了顶多抱怨两句,也没有非要网站赔偿什么,这两个网站也还能保持着比较高的人气。可就是面对着如此宽容大度的中国网民,新浪还要睁着眼睛撒谎,坚称其用户密码是密文保存的。张百川发现的这个漏洞就像一记清脆的耳光,狠狠地甩了新浪一巴掌:叫你丫撒谎,pia死你。
继续阅读 »

01-07
2012

新浪微博也泄露了用户密码的hash

IN:小小极客   Tags: , , , ,    评论: 1

update 2012-01-07: 有证据指出新浪明文存储用户密码,并有可能大规模泄露
update 2012-01-05: 文中所提到的weibo.com_12160.dbh 被怀疑是人人网伪造的数据库,并非来自新浪微博。主要论据不可靠,故标题及正文中所提到的有关新浪微博泄露用户密码hash的任何结论都是不正确的。

前面说到,人人网泄露的是用户密码的hash,现在我们拿到一个 weibo.com_12160.dbh ,用同样的方法进行分析,得到同样的结论:weibo.com_12160.dbh 里的密码来自hash碰撞。

D:\Downloads\weibo.com_12160\weibo.com_12160>grep -i -P "\s+null$" weibo.com_12160.dbh|wc -l
4001

跟人人网差不多,正好也是4000多条,好奇怪。

ps. 这两篇对泄漏数据库的分析和结论都需要一个前提:这两个数据库必须是真实有效的。到目前为止人人网和新浪微博都没承认用户数据库泄漏,而我也没办法确认数据库的来源,所以这两篇文章里所说的某网站存储用户密码hash、某网站泄露用户密码hash等结论都只是可能成立。

12-23
2011

转载一个批量删除新浪微博发言的python脚本

IN:小小极客   Tags: , ,    评论: 21

update 2011-12-17: 这个脚本的原作者写一了一个带图形界面的小工具,推荐用那个工具来清理新浪微博
update 2011-07-22: 转载原作者的更新说明:"新浪3g登录加入了两个小手段来防止bot(原因是前几天新浪被大规模扫号了). 一个是增加了vk字段, 另一个就是password字段变为password_随机数字. "

今天找了个Python脚本,把自己在新浪微博的发言清空了(很奇怪的需求),但是原作者lyxint没有详细说明这个脚本的用法。

我把这个脚本转载过来,说明一下用法:
1. 下载安装Python(我很久以前就安装了Python 2.7,跳过这一步);
2. 下载安装PycURL(用以发送http请求);
3. 新建一个Python,文件名为*.py(比如delWeibo.py),文件内容见后文(注意以UTF-8编码保存);
3.下载delWeibo.py
4. 运行CMD,cd到delWeibo.py所在的目录,运行:delWeibo.py yourUsername yourPassword 。 继续阅读 »

06-27
2011

无觅相关文章插件,快速提升流量

loading...