网站漏洞百出 QQ密码“大白天下”

easyfm

QQ是广大网民非常喜爱的聊天工具，当然，作为在网上交朋友的好帮手，很多用户都在各种交友网站登记注册。在与志趣相投的朋友通过QQ聊天的同时，一双黑手悄悄伸向了你宝贵的QQ号。

　　现在网上有非常多的交友网站，这些网站往往有成千上万的用户，这些用户往往在注册的时候留下了很多真实有效的资料，包括姓名、电话、QQ号这些一般不轻易告诉别人的东
西。当然，在注册成为某个网站的用户的同时，一般需要给自己的用户名设定一个密码。对于那些安全意识不强的用户来说，这个密码给自己埋下了重大隐患！

　　由于腾讯公司不断对自己的产品进行改进，其加密手段也越来越强大，而很多用户对盗窃QQ密码的木马都认识得比较清楚了，再加上腾讯的密码保护措施，使得那些期望通过从用户端窃取密码的可能性越来越小，而腾讯QQ的密码传送协议也不是一般人可以知道的。于是，他们把目光投向了网站。

　　现在国内有各种各样的网站多如牛毛，当然有很多网站都会要求用户注册，只有用户注册以后才能得到更多的服务。但是，并不是所有网站都像新浪(www.sina.com.cn)等大型网站这样拥有强大的技术力量，很多网站的服务端往往使用的是一些共享/免费甚至于盗版的软件，这些软件大多数是一些程序爱好者开发的，他们往往缺乏项目开发经验，甚至忽略安全方面的要求，这样一来，用户提交的数据就显得不那么保险了。

　　这些依靠互联网提供服务的站点在使用软件上的缺陷，使得他们的数据库处在一个相当危险的环境中。如果他们把好操作系统这一关，仍然可以保护用户资料的安全。然而，现在许多中小网站的网管对系统各项权限分配往往按照岗位分配，没有仔细规划，许多文件的权限分配都是不正确的，导致了一些不应该被下载的文件暴露在互联网上。

　　由于有了以上种种缺陷，一个不需要高深黑客知识的人就可以肆无忌惮的偷窥用户资料了。现在，只要知道一般网站经常使用的数据库文件名，就可以通过IE浏览器而不需要其他任何工具取得你的QQ密码了。其主要过程是：通过强有力的搜索引擎得到大量的数据库文件地址或者相关的调用数据库连接，然后稍微整理一下，用下载软件成批地下载这些数据库。当然，不是每个数据库都能够下载，但是只要网管稍微疏忽，他们的数据库就轻易被下载到用户一端了。最后就是用MS OFFICE相关组件打开这些数据库，其中会发现某些数据库加密了，但成功下载的数据库中有绝大部分是没有加密的。现在仔细看看吧，网站所有用户的资料都摆再你面前了！

　　打开数据库以后，所有详细的资料都一一呈现了，姓名、年龄、生日、电话。其中最引人注意的就是netcall和password字段了(该2个字段出于安全原因没有展示再图片中)，从netcall字段里面取得用户的QQ号，然后用用户注册时候的密码去登陆他的QQ，虽然不是次次成功，但是上有一半左右的用户QQ都这样被成功登陆了！

　　事实上，由于网站漏洞百出使得用户QQ密码被放在互联网上“展示”，最无辜的就是用户了，而最没有办法的也是用户。所以我们郑重提醒您：1.如果不是必要，应该尽量避免在一些小型网站注册；2.为了您的信息安全，请千万不要在不同地方使用相同密码！

zhoujingxzf

受教了，但这也是没有办法的事，

sun444

哈哈 咱不上交友网站，还是多谢提醒

zhenbawa

还好我没有受害，平常不随便透露个人信息的。

horky

不同的网站我用不同的密码

有一部分是不变的,比方password

有一部分是根据网站的域名作一些简单的变换,但别人是很难猜解出来的.
比方取域名的首尾字母的后一个.

readfree转换成sf

我的readfree密码是passwordsf

而我的QQ密码就是passwordrr

zj5566

不上QQ 密码自己都不记得。

啊cr

我的readfree密码是passwordsf

而我的QQ密码就是passwordrr

骗人

云之惑

引用第6楼啊cr于2009-04-14 20:38发表的 :

骗人

已经试了！

穿越心灵

引用第5楼zj5566于2009-04-14 19:44发表的 :
不上QQ 密码自己都不记得。

这样就不怕了

laobalu

说的有一定道理...

男人读吧读吧

对，以后注意

kawang0404

有过教训,今天终于明白是怎么回事了

vteth

关键是不要把自己的支付宝之类的密码和这些一样就好了。呵呵。

新浪的枪手 新浪被人搞的还少啊？！

shiyi_001

恩，确实有道理，以后得多注意，受教了