网站漏洞百出 QQ密码“大白天下”

来源：vlan9收集作者：未知出处：巧巧读书 2007-10-01 进入讨论组

　　QQ是广大网民非常喜爱的聊天工具，当然，作为在网上交朋友的好帮手，很多用户都在各种交友网站登记注册。在与志趣相投的朋友通过QQ聊天的同时，一双黑手悄悄伸向了你宝贵的QQ号。

　　现在网上有非常多的交友网站，这些网站往往有成千上万的用户，这些用户往往在注册的时候留下了很多真实有效的资料，包括姓名、电话、QQ号这些一般不轻易告诉别人的东
西。当然，在注册成为某个网站的用户的同时，一般需要给自己的用户名设定一个密码。对于那些安全意识不强的用户来说，这个密码给自己埋下了重大隐患！

　　由于腾讯公司不断对自己的产品进行改进，其加密手段也越来越强大，而很多用户对盗窃QQ密码的木马都认识得比较清楚了，再加上腾讯的密码保护措施，使得那些期望通过从用户端窃取密码的可能性越来越小，而腾讯QQ的密码传送协议也不是一般人可以知道的。于是，他们把目光投向了网站。

　　现在国内有各种各样的网站多如牛毛，当然有很多网站都会要求用户注册，只有用户注册以后才能得到更多的服务。但是，并不是所有网站都像新浪(www.sina.com.cn)等大型网站这样拥有强大的技术力量，很多网站的服务端往往使用的是一些共享/免费甚至于盗版的软件，这些软件大多数是一些程序爱好者开发的，他们往往缺乏项目开发经验，甚至忽略安全方面的要求，这样一来，用户提交的数据就显得不那么保险了。

　　这些依靠互联网提供服务的站点在使用软件上的缺陷，使得他们的数据库处在一个相当危险的环境中。如果他们把好操作系统这一关，仍然可以保护用户资料的安全。然而，现在许多中小网站的网管对系统各项权限分配往往按照岗位分配，没有仔细规划，许多文件的权限分配都是不正确的，导致了一些不应该被下载的文件暴露在互联网上。

　　由于有了以上种种缺陷，一个不需要高深黑客知识的人就可以肆无忌惮的偷窥用户资料了。现在，只要知道一般网站经常使用的数据库文件名，就可以通过IE浏览器而不需要其他任何工具取得你的QQ密码了。其主要过程是：通过强有力的搜索引擎得到大量的数据库文件地址或者相关的调用数据库连接，然后稍微整理一下，用下载软件成批地下载这些数据库。当然，不是每个数据库都能够下载，但是只要网管稍微疏忽，他们的数据库就轻易被下载到用户一端了。最后就是用MS OFFICE相关组件打开这些数据库，其中会发现某些数据库加密了，但成功下载的数据库中有绝大部分是没有加密的。现在仔细看看吧，网站所有用户的资料都摆再你面前了！

　　图片声明：为了保证用户安全，本图片仅作为示例使用，故隐去了需要保密的部分

　　打开数据库以后，所有详细的资料都一一呈现了，姓名、年龄、生日、电话。其中最引人注意的就是netcall和password字段了(该2个字段出于安全原因没有展示再图片中)，从netcall字段里面取得用户的QQ号，然后用用户注册时候的密码去登陆他的QQ，虽然不是次次成功，但是上有一半左右的用户QQ都这样被成功登陆了！

　　事实上，由于网站漏洞百出使得用户QQ密码被放在互联网上“展示”，最无辜的就是用户了，而最没有办法的也是用户。所以我们郑重提醒您：1.如果不是必要，应该尽量避免在一些小型网站注册；2.为了您的信息安全，请千万不要在不同地方使用相同密码！请保留地址 http://www.qqread.com/qq/x711341107.html