您的位置:首页 > 其它

安全检测---给安全意识薄弱的用户敲一次警钟

2009-07-16 07:46 344 查看
2008年01月06日 星期日 15:36
网络是虚拟的,打开电脑时异彩纷呈,关闭电脑就什么都看不见了。网络又是真是的,你在网络上的一举一动都留下了痕迹或者烙印。这样烙印,就像打开的“潘多拉的盒子”你几乎没有办法把它抹去。那么,就会注定有一些故事发生。有句俗话“不怕被贼偷,就怕被贼惦记着”,你在网络上留下的蛛丝马迹,可能会被一些别有用心的人利用,玩弄一些类似“李鬼”的伎俩?不用惊讶,看看他们是如何循着你留下的蛛丝马迹找到你的。

  一、“踩点”,确定目标和任务。

  随便进入一个论坛,确定用户ID,这个用户不能太普通,不能太多重名,否则还需要知道另外的信息。

  目标:一个用户ID为“张##”的用户。

  任务:根据一个用户ID(随便一个论坛里有N多个)搜集他的Email、电话、住址、QQ、MSN,甚至一些账号、密码等等一些敏感信息。

  二、搜集信息

  1、搜索引擎:由于只是知道其名字,所以需要了解他在网上的活动,首先登录www.google.com和www.baidu.com,输入其名字进行搜索,但是均没有搜索结果。这基本在我们的意料之中,因为毕竟一般的人在搜索引擎上都搜索不到,那么再去哪里知道更多的信息呢?

  2、校友录:

  (1).打开www.chinaren.com,登录。校友录提供了一个有趣的功能----“同学大搜捕”,在其中输入“张##”,点搜索,提示“非手机绑定用户,无法使用‘同学大搜捕’功能!”没什么大不了的,那就绑定吧,再重新搜索,结果出来了。

  (评论:“同学大搜捕”方便了同学,也方便的“某些人”,是把双刃剑!)

  可以看到毕业学校信息!接下来,打开搜索结果中的各个班级的链接。由于现在很多班级把自己班级设置为不公开状态,访客登录是无法看到校友录留言的,所幸的是经过我们在以上搜索结果的试验发现中有两个班级是设置为“公开状态”,可以随意浏览校友录留言和班级个人地址。在个人地址中,查看“张##”的个人信息,提示非班级成员,不能查看。那好,直接点“加入班级”,都不需要批准就加入了此班级!接下来查看个人信息,可以得到“张##”在校友录中的如下信息:

  注册账号:zhang*@chinaren.com

  基本资料

真实姓名:张##
  性别:男
  生日:1982-10-27 (天蝎座)
  籍贯:-
  现居地:-
  工作行业:-
  工作单位: -
  联系方式
  手机号码:-
  QQ:3841***
  MSN:-
  E-mail:zhang*@163.net
  联系电话:-
  个人主页:-
  注:-表示空白

  (2).打开www.5460.net,众所周知,chinaren和5460是两个最著名人气也最旺的校友录,去5460看看是否能获得更多的信息。在5460上面依然使用同学搜索功能,不同的是此功能不像www.chinaren.com那样需要绑定手机。果然不出所料,在5460上很快搜索到如下资料:

  注册账号:aaa111,

  Email:zhang*@163.net。

  注:Email和chinaren看到的一样!

  三、突破

  至此,我们已经在只知道其用户ID的情况下,获得了其常用Email、QQ、注册账号等网络信息,接下来该如何寻找突破点,进一步获得更详细的信息呢?当然,知道Email,QQ等,可以使用暴力破解密码之后进入其邮箱或者QQ,但我们不能这样做,我们可是友情检测呀。而且,这也不符合我们的个性,引用一句流行话语就是:一点技术含量都没有!那么,接下来该如何做?

  (1).遇挫

  接下来我们来使用“忘记密码”看能否找到密码,或者相关信息。打开mail.163.net,点击“忘记密码”,就提示输入出生年月日,把从校友录上获取的“张##”的生日信息输入,然后“下一步”,提示输入正确!接着系统提示问题为“who are you”,试了几个答案后均不对,此条路不通!

  在QQ的“忘记密码”中,密码忘记的提示问题为“who are you”,那么可以想到的是他的答案肯定不会跟问题一模一样。Chinaren的密码取回功能改为了人工,自然不能玩了。

  (2).转机

  打开www.5460.net的“忘记密码”页面,在这个页面中我们点击IE上面的“查看源文件”可以看到如下内容:

<strong>2</strong>、如果你不能回答问题,也可以把你的密码寄到你所注册账号的邮箱中:<br>
<form name="" action="getPsByMail.jsp">
<input type="submit" name="Submit2" value=" 把密码发送给我吧! ">
<input type="hidden" name="nId" value="13455732”>
<input type="hidden" name="email" value="zhang*@163.net">
<br></form>

  这样我们知道了密码发送到哪个邮箱,同时,知道了5460的密码肯定明文保存在数据库中,不像QQ等只是发一个更改密码的链接!那么我们就知道,如果能够进入他的邮箱,就能够获得他的密码!

  (3).柳暗花明

  接下来,由于知道了他的注册账号,联想到是否他会用此账户注册登录很多论坛?还是使用google和baidu,但是这次搜索关键词使用他的注册账号而不是真实姓名,这次有了搜索结果,第一个就是天涯论坛,打开链接,在天涯中打开此账户的个人信息,然后搜索其在天涯论坛的文章,看来他还是比较活跃,分析他发表帖子的版块就知道他平时上网的个人兴趣了!但是此时还是离我们的目标很远。再重新查看“张##”在校友录的注册信息,可以知道他的大学和中学名称,以这个为突破口,看能否实现?

  首先进入其大学主页,浏览了一下,估计可以利用的漏洞不是很多,而且应该也没“张##”的个人信息,就在一筹莫展的时候,随便在www.google.com上搜索其所在中学名称,居然发现其所在的中学也已经有了自己的网站,打开其主页,发现新闻文章发布系统是采用asp系统,心中大喜,可能存在SQL注入,再看其主页上居然还有一个自己学校建设的校友录版块,而且一看就知道肯定是采用网上那些免费的校友录程序,看来此网站能够拿下的几率已经非常高了,等下就只需要确定“张##”是否在这个校友录上有注册。打开校友录中“张##”的中学班级,成员名单中显示他已经注册并登录过。好,已经找到了突破口,只要能够拿到这个网站的数据库,那么就可以拿到“张##”的密码了,如果此密码和其在mail.63.net上的邮箱密码一致,那么就大功告成,如果不同,那么也可以得到进一步信息。

  先看首页的新闻系统,使用asp程序,随便打开一条新闻http://www.***.net/include/shownews.asp?id=453,在URL后面添加and 1=1,居然没有报错,显然存在SQL注入,拿出NBSI2,进行扫描,可以看到网站采用SQL Server数据库,而且使用SA进行登录,在自动猜解中,已经知道校友录数据库为alumni_user,在列名中,选中name,truename,password进行破解,破解条件直接输入truename=‘张##’即可,密码破解成功,我们也大功告成!

四、乘胜追击

  用破解的密码登录其mail.163.net的邮箱,居然密码一致,进入之后,查看其收件箱,可以发现其注册过易趣和当当网上书店,并使曾经使用过“密码忘记”功能,把密码发送到邮箱过。

  接下来打开当当网,使用其收件箱中当当网发送的账户和密码登录,此时“张##”在当当网的个人信息中如:身份证号码、手机号码、家庭住址均一览无遗。

  同时在其邮箱中发现了一些个人的比较敏感的账号和密码信息,包括QQ、一些论坛的账号和密码等等。看来这位老兄比较健忘,对我们的网络安全抱有积极乐观的态度,大概他也相信“天下无贼”吧!

  总结:现在,你大概不会惊讶了吧!被别人查了个底朝天,怨谁呢?我们好像没有必要迁怒于网络,甚至也不必怪罪于好事者,说到根源是我们缺乏安全意识,给别人以可乘之机。结合这此安全测试,我们有以下几点要注意:

  1.论坛、邮箱、网站业务注册中不要用同样的账号和密码,反之一个被破,全部沦陷。

  2.不要把账号、密码等敏感信息放到邮箱中保存,反之无疑给别人意外之喜。

  3.一些敏感的邮件,比如“密码找回”这样的邮件看完后一定要完全删除。

  4.不要注册到一些存在安全隐患或者不正规的网站上注册,非要注册一定不要输入自己的真实资料。

  能够做到以上几条,就能够在一定的程度上保护自己的隐私。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航