QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

楼主: PXE2

薄弱的安全

[复制链接]
发表于 2006-3-4 17:11:35 | 显示全部楼层
[quote:bcce58488f="spirn"]按照这个过程,似乎发上去的验证包和返回包都是用同样的key(md5密码两次)加密的。而发上去的包是加密空串,应该不难推导出key,然后用同样的key可以解密返回的包。
虽然密码依然是不可知,但是破解通讯内容还是有可能的吧。


[quote:bcce58488f="yunfan"]对方也不会知道你的会话密钥, 因为这个登录成功的
返回包是服务器使用你当前密码的2次md5值加密的。 你的登录请求里也没有含你的密码, 只有你的
密码的2次md5值加密的1个空串作为验证码发给服务器的。 知道这个也无法反推出你的密码。

[/quote][/quote]


澄清一下,  我先道个歉, 我上面没说清楚,  关于登录请求,  
是使用密码的二次MD5值作为密钥来加密一个随机的
十六字节的字串,(好像是16字节长, 这个记不清了).
这个加密的结果是作为登录请求包内密码的验证码, 发送到服务器的.

注意在登录请求中, 是使用密码的2次md的hash值做为key的, 即便
我们知道原始字串内容, 和加密后的内容, 反推出key的值,  还是
只能使用穷举的办法, 而我们理论上最多需要2的(8 ×16) 次方次,
这需要时间.........., 当然, 也许你非常lucky, 一次就碰上了  
回复

使用道具 举报

发表于 2006-3-5 14:47:47 | 显示全部楼层
数字真是让人头痛, 云帆,祖国的未来就靠你了
回复

使用道具 举报

 楼主| 发表于 2006-3-7 10:57:52 | 显示全部楼层
看来网上说可以破解和列出聊天内容是没的事了?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-2 00:28 , Processed in 0.079707 second(s), 12 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表