电脑登3GQQ存隐患 明文密码易泄漏

来自菲菲 原创 发表于 2013-1-1 11:34:52 热度:★★★☆☆

  亲,你是否晓得通过电脑登录3GQQ是存在可能导致密码泄漏的安全隐患呢?当然菲菲可不是耸人听闻哦,这是经过自己一些测试评估后得出的结论,撰写这篇文章的目的是提醒大家一定要保管好自己的QQ密码,提高安全意识,安全问题真的是无处不在的呀!

  整个对3GQQ的登录分析过程如下:

  1、首先使用火狐浏览器自定义User-Agent(用户代理)后访问手机腾讯网3G版(普通版),然后选择“QQ”进行登录抓包分析,很明显这是一个POST的登录表单,如下图:

3GQQ登录时是以明文传输的

  根据图片的显示我们不难看出,在登录3GQQ时,你的密码是以明文方式向腾讯服务器提交验证的(就是图中的 pwd 999999999),数据传输过程中没有任何的加密措施,如若直接在电脑端登录使用,由于PC网络环境(包括内外网,而手机WAP端相对比较靠谱些)比较复杂,极易造成密码泄漏的风险。猜测这也是很多“手机党”的Q友无缘无故密码被盗的原因之一吧。

  2、然后再来对比测试一下3GQQ触屏版的登录过程,为方便测试菲菲博客仍然借助火狐来截包分析,很简单,看图:

使用触屏版登录更安全

  从POST参数很明显可以看到,通过触屏版登录手机腾讯网时,密码首先会在本地进行32位md5加密后才会发送到远程验证的(如图中标注的 pmd5 C8C605999F3D8352D7BB792CF3FDB25B)。所以更加安全的选择就是使用触屏版咯,这样即便数据包被坏人截获,由于md5加密算法的特殊性,对方也无法将密码还原为明文(除非你的密码过于简单)。【菲菲博客·原创文章】

所有原创博文版权归菲菲博客所有,转载必须注明文章出处地址:http://www.feifeiboke.com/anquan/2604.html