微信密碼出現漏洞 微信密碼漏洞該如何修補?
本文已影響1.73W人
本文已影響1.73W人
近日,網友曝光稱微信密碼出現漏洞,黑客還成功破解了柳巖、馬化騰的微信賬號。一起來看看具體的破解過程。這些微信密碼漏洞該如何修補?
在前不久,有極客網友根據電話採訪周鴻禕的視頻撥號聲,分析出了周鴻禕的電話號碼。此事一經報道,立刻在社會中傳播開來。極客探究和不留後患的做法甚至得到了社會各界的廣泛認可。周鴻禕得知後親自拋出了橄欖枝。
19日下午,有網友向本網提供消息,在WooYun 論壇又有一位極具實力的極客(黑客),他通過利用微信賬號安全的設置漏洞,成功地破解了多爲名人的微信賬號,並公佈爲證。目前該極客已經成功破解了柳巖、馬化騰的微信賬號。不知他會不會得到馬化騰的垂青呢?漏洞及破解具體過程如下:
今天發現個微信羣發的漏洞。還沒玩。就被修補了。
於是就有了這個漏洞的產生。
同樣問題產生在重置用戶密碼的環節。
在微信官方的首頁上發現新增瞭如下功能模塊
微信功能模塊
訪問後看到這個功能。來了興趣
微信重設密碼
在這個頁面輸入一個已經註冊了微信的手機號。
重設密碼過程界面
得到如下提示
重設界面
選擇我已收到驗證碼就跳轉到一個修改密碼的頁面,如下
輸入密碼
在這一步抓包。得到如下包文
代碼
將包文中的verifycode進行重複提交後發現會提示
這樣的話。就要想辦法去突破。
經過一系列嘗試後發現如果在phone=18666666666的號碼後面添加不爲數字的字符時,可以繞過此限制。於是推理出其判斷方法
如果phone=18666666666的嘗試次數大於閥值,則提示請求過於頻繁
但在這一步之前沒有對phone進行提純。所以可以將特殊字符帶入
然後在取出此號碼的verifycode進行比對。
比對成功則修改密碼
修改密碼成功
這個地方的薄弱環節在於微信重置密碼的驗證碼爲4-5位純數字。
且數字範圍在1000-20000之間
也就是說。我只要嘗試19000次。我用50個線程發包.3分鐘即可成功修改一個密碼。
在發現此漏洞後。我修改了兩個人的微信帳號。
一個是最近很喜歡的明星柳巖的經紀人
柳巖在微搏上公佈了經紀人的手機號。
成功修改進入後。通過微信自帶的離線消息查看功能。可以成功查看其所有QQ好友
於是得到了柳巖的QQ號。。但是拒絕添加好友了。。傷心
這裏由於隱私原因。就不上圖了。
另外一個是騰訊的某高管。我在百度上搜索到了騰訊高管的list
然後通過list裏的手機號修改了其密碼。和尊敬的馬化騰馬大哥進行了一次親密的交談。
由於夜深了。他不在線。所以沒收到其迴應。附圖幾張。
網友和“小馬哥”開玩笑
和馬哥開了個小玩笑。
然後找到了最近正好很火的周鴻禕手機泄漏的視頻。
同樣通過音頻分析得到號碼。嘗試修改其微信密碼。。
發現周哥果然沒有註冊微信。放棄了嘗試。漏洞證明:
重設成功
修復方案:增強下機制吧。
【中秋節給朋友的微信祝福短信】微信中秋節給朋友的祝福短信 微信中秋節祝福語大全
微信朋友圈裏的育兒科普文章能信嗎?
人體信號:手指的長短疼痛泄漏健康祕密
【微信步數在哪裏】微信步數在哪看 微信走路步數在哪裏
二胎產後漏尿如何修復 產後修復從三方面出發
新生兒表情密碼,你瞭解多少?
【兒童牙齒有洞怎麼辦】兒童牙齒有洞如何修復
【婚禮微信邀請函】婚禮微信邀請函模板 婚禮微信邀請函文字
哈根達斯缺斤短兩 經營管理存漏洞
貼牌奶粉或藉助漏洞趁機“洗白”
【寶寶出生報喜微信】寶寶出生報微信內容
孩子不聽話?其實他是向你發出了一串神祕的行爲密碼
【十男九漏是真的嗎】十男九漏準嗎 十男九漏可信嗎
【中秋節微信祝福語大全】中秋節微信羣祝福短信
寶寶背古詩漏洞百出,媽媽笑個不停~
2019年六一微信祝福圖片大全 兒童節微信朋友圈圖片大全
密碼鎖具如何修改密碼
【微信轉賬手續費2017】微信轉賬手續費怎麼收 微信轉賬手續費收費標準
【微信運動怎麼刷步數2017】蘋果手機怎麼刷微信運動 安卓微信運動怎麼刷步數多
年六一微信祝福圖片大全 兒童節微信朋友圈圖片大全