QQ登录的加密传输安全

本文探讨了QQ登录采用RSA加密传输存在的安全缺陷,解释了如何通过中间人攻击伪造RSA密钥窃取密码,指出SSL的安全优势。尽管RSA方案在成本上具有吸引力,但无法完全抵御中间人攻击,建议结合SSL增强安全性。
摘要由CSDN通过智能技术生成

         这几篇文章写得挺好,我整合一下吧

         安全技术团队PST有一篇文章《QQ网站登录的RSA加密传输缺陷分析》,内容大概是QQ登录密码使用了低成本的RSA进行加密传输,从而让黑客有可乘之机,使其可以通过伪造RSA密钥的方法获得QQ密码。

昨天被月光提及,并提供了一种"不传输完整加密数据"的防御方法,作为RSA的补充,加密后的数据会被截断,即使黑客掌握解密匙,也无法获得密码本身。

文中伪造的RSA密钥,将通过ARP攻击发送,这种方法已被广泛应用在木马散播上。目前国内应对ARP攻击的防御能力还十分薄弱,只要被刷得狠一些,大部分中文防御工具都会立即失效。

提议,既然ARP攻击,不如直接更改加密程序,跳过RSA,获得完整密码,岂不更好。这种方法,令黑客工作量大增,但上面讨论,也同时失去了效用。

作为最终办法,两篇文章都赞扬了SSL的安全性。不过,云舒的一篇《如何进行https中间人攻击》,却又提供了另一种针对SSL的方法,并且写出了实例。

综上所述,一切措施都是徒劳,用户还是会丢失Q号,听天由命吧。

 

  (一)QQ网站登录的RSA加密传输缺陷分析

           

感谢匿名人士的投递
QQ网站登录处没有使用https进行加密,而是采用了RSA非对称加密来保护传输过程中的密码以及敏感信息的安全性。 QQ是在javascript中实现整个过程的。这个想法非常新颖,但是也是存在严重缺陷的。如果被黑客利用,则可能被捕获明文密码。
分析报告如下:

Author: axis
Date: 2007-11-23
Team: http://www.ph4nt0m.org  (http://pstgroup.blogspot.com)
C

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值