让我们一起来撞乌云的数据库

浮生若梦 | 2014-05-25 18:34

用了3W8的用户数据,撞出了5个乌云账号。除去1W多代理跑不动的之外。。。平均每5000个账号可以撞出一个账号。在带宽足够的服务器上跑的话,基本一小时可以跑20~40W左右的数据- -!我想QQ用户数据应该也不在少数,若用穷举QQ邮箱,那么会不会有意想不到的收获?

测试过程中,发现乌云只有对流量攻击的防护,并没有对检索用户名或登录次数进行一个限制,更值得一提的是,乌云的验证码就跟没有差不多。。。。小菜虽然不知道乌云币兑换物品的流程,若只需要填写用户密码就可以直接兑换物品的话,那么只要撞库成功,洗乌云币其实也是轻而易举的事。接着我们延时思路,当登录成功之后,在我的控制面板上会有小部分的个人信息,其中涉猎到姓名、支付宝、地址、手机等信息,虽然说不是非常敏感,但一旦接着深入挖掘,理论可以挖掘出更多用户信息出来,各位社工大牛们,你们说对吧。。。所以,我大乌云在用户信息安全上是否应该做一次升级或者说重视些?

小菜的个人之见,若有不足之处,还望各位大手指教。最后,我可以用那些账号来感谢我自己么。。。。。0.0!

先丢几个图片上来亮亮:

webshell 的控制面板

爱至成伤的控制面板

季煜熙的控制面板

xiasix发布的漏洞

[原文地址]

相关内容:

社工算是一种技术吗?社会工程学讨论……

京东惨招恶意炒作,数据库泄露为撞库攻击

如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

相关讨论:

1#

漂流瓶 (http://cmd5.cc/) | 2014-05-25 18:39

还好我这个邮箱只有乌云用过```````

2#

YY-2012 (那痛,谁懂?) | 2014-05-25 18:43

我邮箱独一无二,我还有差不多300个乌云币……黑客不要盗我

3#

0749orz (你多大了?(什么才C罩杯,等你大一点再说吧。) | 2014-05-25 18:59

黑客别黑我,...我没B(WB)

4#

xsser (十根阳具有长短!!) | 2014-05-25 19:07

@Finger @疯狗 添加微信登陆提醒吧

5#

itleaf (? 你死晕) | 2014-05-25 19:28

@xsser 能智能提醒么,或者登录验证也行。主要就是怕登录验证频率太高...

6#

肉肉 | 2014-05-25 19:44

幸好你们不知道我邮箱

7#

马丁 (我快要饿死了!!!!) | 2014-05-25 20:54

好吊

8#

风花雪月 (多喜欢我自己!) | 2014-05-25 21:14

。。。。 我都忘记了自己的密码了 也忘记邮箱了 我是电脑记住密码。。。

9#

博丽灵梦 | 2014-05-25 21:15

@风花雪月 来 吧密码发给我 我记性好 我来帮你记

10#

YangCL | 2014-05-25 21:30

我的密码绝对撞不开~

11#

风花雪月 (多喜欢我自己!) | 2014-05-25 21:49

@博丽灵梦 密码就算了 记住我名字以后看见搞基就好。。。做机油

12#

px1624 (aaaaaaaaa) | 2014-05-25 21:58

我邮箱是我QQ邮箱,求撞!骗你是小狗

13#

Knight (查水表。缴wb不杀) | 2014-05-25 22:57

表示我每个网站密码都不一样,保存在txt后加密上传到国外服务器。连我都不知道我自己密码。

14#

Murk Emissary (聋子听哑巴说瞎子看见鬼了) | 2014-05-25 23:12

还好我各个的密码都是乱填写的,每次登陆都要找回密码.....

15#

流星warden (塵歸塵,土歸土,讓往生者安寧,讓在世者重獲解脫。) | 2014-05-25 23:13

我每个密码都是独立的。。。手写在记事本上,经过一个我自创的加密方式,放在我床头枕头下,各位黑客别来盗我的号啊。。我自己也布吉岛我密码

16#

erevus (我的乌云币都在小号上,小号不是绑定我QQ,别盗我号) | 2014-05-25 23:30

还好我的密码是独立的

17#

乐乐、 (一如乌云深似海 从此马甲是路人) | 2014-05-26 08:41

@Murk Emissary 不要把方法说粗来啊!!!!

18#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-05-26 09:04

哈哈哈……

19#

浮生若梦 | 2014-05-26 09:51

@Murk Emissary 嘿嘿。。。很大一部分网站基本都是没记住密码的。。有需要就直接找回。。。

20#

Hxai11 (求工作) | 2014-05-26 09:52

看来得改密码为独立了。。。

21#

j2ck3r (我家里人什么都不知道。) | 2014-05-26 09:54

我的密码很简单,但是我的邮箱很复杂

22#

j2ck3r (我家里人什么都不知道。) | 2014-05-26 09:54

都是马甲号

23#

El4pse | 2014-05-26 13:00

我的密码是32位的

24#

银狼_avi (本屌12岁破处) | 2014-05-26 16:28

一次性密码。。

25#

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-05-26 16:39

我之前就提过这个问题了···不过被无视了而已

26#

鸡鸡 (新時代的我們 草榴貼圖區 加大你的帶寬! 加大你的) | 2014-05-26 18:09

打开窗户一眼看到什么 密码就是那东西的拼音,然后加密一下,随机替换数字

27#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-05-27 08:44

如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

28#

念念不忘 | 2014-05-28 00:21

我密码连我自己都记不住, 反正我也没WB

29#

Roar | 2014-05-28 04:32

还好现在我的密码都是随机生成,临时注册的没什么用的密码都是123456.

30#

webshell | 2014-05-30 00:55

我这个密码不是什么秘密了。

31#

袋鼠妈妈 | 2014-05-30 01:09

我的密码很简单,但是我的邮箱很复杂 @j2ck3r 这个乐死我了。。。

留言评论(旧系统):

佚名 @ 2014-05-26 21:48:55

我为了注册乌云单独注册个一个邮箱,

本站回复:

客官,你多虑了~乌云还是很安全的~

佚名 @ 2014-05-28 08:28:41

核总,对于你们这样的超级大牛来说,是不是中国80%的网站都是不安全的?

本站回复:

100%的都不安全,只是时间和成本问题。