上网最恐怖的事情是什么?个人账号、密码以及个人信息泄露。在用户电脑不存在任何木马病毒的情况下也会泄露。
在N年前,我曾经成功的获取到指定人的密码。
第一次:获取对方QQ密码
当时腾讯的有些漏洞。步骤如下:
1)在一个QQ中加对方为好友;
2)申请一个新的QQ,并作密码保护;(此时我发现腾讯的一个问题,刚申请保护的QQ,在网页查找是否申请保护时,居然是未保护;
3)将新申请的QQ送给对方,并告知密码;
4)对方修改QQ密码,通过登录QQ来确认;
5)通过密码保护拿回密码,拿回的密码为此人其他QQ账号密码;(以前腾讯直接将密码发往用户邮箱,怀疑腾讯在搜集用户密码作为不可告人的勾当);
第二次:获取对方论坛密码
1)在论坛中加对方QQ,并聊天;
2)通过花生壳建一个BBS论坛;
3)修改论坛源码,密码保存为明文;
4)邀请对方访问并注册我的论坛;
5)查看对方密码,搞定。
上面两种方式说明了一些很严重的问题:
1)无法保证BBS、QQ、邮件服务(任何有密码保存的地方)存放的不是明文;
2)提问信息的答案无法保证不是明文;
3)用户上网时,各种账号密码在很大程度上存在一致性,即用户的QQ密码、bbs密码和账号等很可能相同,
提问问题和答案很可能相同;