让我们一起来撞乌云的数据库，撞库攻击，数据库碰撞攻击

让我们一起来撞乌云的数据库

浮生若梦 | 2014-05-25 18:34

用了3W8的用户数据，撞出了5个乌云账号。除去1W多代理跑不动的之外。。。平均每5000个账号可以撞出一个账号。在带宽足够的服务器上跑的话，基本一小时可以跑20~40W左右的数据- -！我想QQ用户数据应该也不在少数，若用穷举QQ邮箱，那么会不会有意想不到的收获？

测试过程中，发现乌云只有对流量攻击的防护，并没有对检索用户名或登录次数进行一个限制，更值得一提的是，乌云的验证码就跟没有差不多。。。。小菜虽然不知道乌云币兑换物品的流程，若只需要填写用户密码就可以直接兑换物品的话，那么只要撞库成功，洗乌云币其实也是轻而易举的事。接着我们延时思路，当登录成功之后，在我的控制面板上会有小部分的个人信息，其中涉猎到姓名、支付宝、地址、手机等信息，虽然说不是非常敏感，但一旦接着深入挖掘，理论可以挖掘出更多用户信息出来，各位社工大牛们，你们说对吧。。。所以，我大乌云在用户信息安全上是否应该做一次升级或者说重视些？

小菜的个人之见，若有不足之处，还望各位大手指教。最后，我可以用那些账号来感谢我自己么。。。。。0.0！

先丢几个图片上来亮亮：

[原文地址]

相关内容：

社工算是一种技术吗？社会工程学讨论……

京东惨招恶意炒作，数据库泄露为撞库攻击

如何抵御社工库类的黑客攻击？在明文密码已泄露的情况下保护自己？

相关讨论：

1#

漂流瓶 (http://cmd5.cc/) | 2014-05-25 18:39

还好我这个邮箱只有乌云用过```````

2#

YY-2012 (那痛，谁懂？) | 2014-05-25 18:43

我邮箱独一无二，我还有差不多300个乌云币……黑客不要盗我

3#

0749orz (你多大了？（什么才C罩杯，等你大一点再说吧。) | 2014-05-25 18:59

黑客别黑我，...我没B（WB）

4#

xsser (十根阳具有长短!!) | 2014-05-25 19:07

@Finger @疯狗 添加微信登陆提醒吧

5#

itleaf (? 你死晕) | 2014-05-25 19:28

@xsser 能智能提醒么，或者登录验证也行。主要就是怕登录验证频率太高...

6#

肉肉 | 2014-05-25 19:44

幸好你们不知道我邮箱

7#

马丁 (我快要饿死了!!!!) | 2014-05-25 20:54

好吊

8#

风花雪月 (多喜欢我自己！) | 2014-05-25 21:14

。。。。 我都忘记了自己的密码了 也忘记邮箱了 我是电脑记住密码。。。

9#

博丽灵梦 | 2014-05-25 21:15

@风花雪月 来 吧密码发给我 我记性好 我来帮你记

10#

YangCL | 2014-05-25 21:30

我的密码绝对撞不开~

11#

风花雪月 (多喜欢我自己！) | 2014-05-25 21:49

@博丽灵梦 密码就算了 记住我名字以后看见搞基就好。。。做机油

12#

px1624 (aaaaaaaaa) | 2014-05-25 21:58

我邮箱是我QQ邮箱，求撞！骗你是小狗

13#

Knight (查水表。缴wb不杀) | 2014-05-25 22:57

表示我每个网站密码都不一样，保存在txt后加密上传到国外服务器。连我都不知道我自己密码。

14#

Murk Emissary (聋子听哑巴说瞎子看见鬼了) | 2014-05-25 23:12

还好我各个的密码都是乱填写的，每次登陆都要找回密码.....

15#

流星warden (塵歸塵，土歸土，讓往生者安寧，讓在世者重獲解脫。) | 2014-05-25 23:13

我每个密码都是独立的。。。手写在记事本上，经过一个我自创的加密方式，放在我床头枕头下，各位黑客别来盗我的号啊。。我自己也布吉岛我密码

16#

erevus (我的乌云币都在小号上,小号不是绑定我QQ，别盗我号) | 2014-05-25 23:30

还好我的密码是独立的

17#

乐乐、 (一如乌云深似海 从此马甲是路人) | 2014-05-26 08:41

@Murk Emissary 不要把方法说粗来啊！！！！

18#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-05-26 09:04

哈哈哈……

19#

浮生若梦 | 2014-05-26 09:51

@Murk Emissary 嘿嘿。。。很大一部分网站基本都是没记住密码的。。有需要就直接找回。。。

20#

Hxai11 (求工作) | 2014-05-26 09:52

看来得改密码为独立了。。。

21#

j2ck3r (我家里人什么都不知道。) | 2014-05-26 09:54

我的密码很简单，但是我的邮箱很复杂

22#

j2ck3r (我家里人什么都不知道。) | 2014-05-26 09:54

都是马甲号

23#

El4pse | 2014-05-26 13:00

我的密码是32位的

24#

银狼_avi (本屌12岁破处) | 2014-05-26 16:28

一次性密码。。

25#

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-05-26 16:39

我之前就提过这个问题了···不过被无视了而已

26#

鸡鸡 (新時代的我們 草榴貼圖區 加大你的帶寬! 加大你的) | 2014-05-26 18:09

打开窗户一眼看到什么 密码就是那东西的拼音，然后加密一下，随机替换数字

27#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-05-27 08:44

如何抵御社工库类的黑客攻击？在明文密码已泄露的情况下保护自己？

28#

念念不忘 | 2014-05-28 00:21

我密码连我自己都记不住, 反正我也没WB

29#

Roar | 2014-05-28 04:32

还好现在我的密码都是随机生成，临时注册的没什么用的密码都是123456.

30#

webshell | 2014-05-30 00:55

我这个密码不是什么秘密了。

31#

袋鼠妈妈 | 2014-05-30 01:09

我的密码很简单，但是我的邮箱很复杂 @j2ck3r 这个乐死我了。。。

留言评论（旧系统）：