微信会将密码暴露给攻击者

标签: 微信 密码 攻击 | 发表时间:2013-09-18 12:47 | 作者:WinterIsComing
出处:http://www.solidot.org
安全研究人员分析了腾讯的移动通信工具微信,发现了多个安全漏洞。利用这些漏洞,攻击者可以获取用户的密码。研究人员两次联系了腾讯,但都没有得到回应。他们所分析的版本不是最新版的微信5.0,而是4.5.1。 在对抓取的网络流量进行分析之后,研究人员发现,微信不是使用标准的HTTP/HTTPS会话,而是自己实现了一种定制的通信协议,主要是通过TCP端口8080传输信息。他们此前发现 4.3.5版本存在多个安全漏洞,允许攻击者拦截流量快速解密消息体,然后访问用户发送和接受的信息,但较新的版本已经堵上了漏洞。他们进一步的分析显示,微信读取调试设置的方式存在问题,可以配备将日志发送到远程服务器,日志包含了MD5格式的用户密码,很容易破解。微信的本地数据库使用了SQLite的加密扩展 SQLCipher加密,密钥生成算法将密码截断成7个16进制字符,暴力破解也不难。
       


相关 [微信 密码 攻击] 推荐:

微信会将密码暴露给攻击者

- - Solidot
安全研究人员分析了腾讯的移动通信工具微信,发现了多个安全漏洞. 利用这些漏洞,攻击者可以获取用户的密码. 研究人员两次联系了腾讯,但都没有得到回应. 他们所分析的版本不是最新版的微信5.0,而是4.5.1. 在对抓取的网络流量进行分析之后,研究人员发现,微信不是使用标准的HTTP/HTTPS会话,而是自己实现了一种定制的通信协议,主要是通过TCP端口8080传输信息.

攻击者不愿费力暴力破解长密码

- - 奇客Solidot–传递最新科技情报
根据微软蜜罐服务器网络收集的数据,大多数暴力破解攻击者 主要尝试猜测短密码,很少攻击针对长的或包含复杂字符的凭证. 微软安全研究员 Ross Bevington 表示:“我分析了超过一百万次针对 SSH 的暴力攻击输入的凭据. 这是微软传感器网络中约 30 天的数据. ”作为微软的欺诈主管,Bevington 的任务是创建看起来合理的蜜罐系统以研究攻击者趋势,他表示:“77% 使用的是长度在 1 至 7 个字符之间的密码.

session fixation攻击

- - 互联网 - ITeye博客
什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文.

浅谈Ddos攻击攻击与防御

- - 80sec
三 常见ddos攻击及防御. 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息,我们并不清楚因为什么原因会遭遇这种无耻的攻击. 因为我们本身并不从事这种类型的攻击,这种攻击技术一般也是比较粗糙的,所以讨论得比较少,但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西,以及针对这种攻击我们的想法才能让这次攻击产生真正的价值,而并不是这样的攻击仅仅浪费大家的时间而已.

警告攻击者

- ZhaoNiuPai - 月光微博客
  广东省深圳市福田区电信ADSL(59.40.120.63)的这位用户,凡事都有个度,事不过三,如果你再对我博客的AdSense进行攻击的话,我可就要报警了,相信深圳公安局根据这个IP抓到你是一件非常容易的事情,想黑别人,千万不要把自己黑进监狱. 分类: 网络日志 | 添加评论(5). 关闭服务器HTTPERR错误日志  (2011-1-12 16:52:8).

Apache防止攻击

- - 小彰
为了防止恶意用户对Apache进行攻击,我们需要安装mod_security这个安全模块. mod_security 1.9.x模块的下载与安装. 下载地址: http://www.modsecurity.org/download/index.html. 建议使用1.9.x,因为2.x的配置指令与1.x完全不同,解压后进入解压目录,执行:.

前端xss攻击

- - SegmentFault 最新的文章
实习的时候在项目中有接触过关于xss攻击的内容,并且使用了项目组中推荐的一些常用的防xss攻击的方法对项目进行了防攻击的完善. 但一直没有时间深入了解这东西,在此,做一个简单的梳理. xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的.

SSL窃听攻击实操

- snowflip - 狂人山庄 | Silence,声仔,吴洪声,奶罩
OK,我恶毒的心灵又开始蠢蠢欲动了. 今天带给大家的是SSL窃听攻击从理论到实际操作的成功例子. SSL窃听最主要的是你要有一张合法的SSL证书,并且证书名称必须和被攻击的网站域名一致. 目前各大CA都有很低廉价格的SSL证书申请,最低的价格只需要10美元不到,甚至还有一些域名注册商大批量采购这些证书,并且在你注册域名的时候免费送你一张.

Python 防止 ddos 攻击

- way - python.cn(jobs, news)
这个周末叫一个烦啊,网站突然打不开了,赶紧的远程连上去看看是啥问题 结果悲剧了,ssh连不上去,总是超时 第一反应就是被ddos了. 联系机房结果说流量占满了,更悲剧的是这个机房竟然没有硬件防火墙,没有办法只能跑去机房看看找下IP了. 结果一查不得了啊,满屏的连接,唯有先断网查查几个访问比较多的IP.

浅谈跨域WEB攻击

- 建江 - 80sec
一直想说说跨域web攻击这一概念,先前积累了一些案例和经验,所以想写这么一篇文档让大家了解一下跨域web攻击,跨域web攻击指的是利用网站跨域安全设置缺陷进行的web攻击,有别于传统的攻击,跨域web攻击可以从网站某个不重要的业务直接攻击和影响核心业务. 传统的安全思维教会我们按资产、功能等需求划分核心业务,优先保护核心业务等,非核心业务的安全等级一般没有核心业务高,给我们错觉是非核心业务受到攻击的话,所造成损失不会很大,也不会影响到核心业务,所以让安全工作者了解跨域web攻击这一概念还是非常有意义的.