微信密码登录登录密码漏洞

来源:蜘蛛抓取(WebSpider) 时间:2018-07-01 10:42 标签: 微信异地登录密码错误
【转】网友曝光微信密码漏洞 柳岩马化腾账号被入侵(图)
在微信官方的首页上发现新增了如下功能模块
微信功能模块
访问后看到这个功能。来了兴趣
微信重设密码
在这个页面输入一个已经注册了微信的手机号。
重设密码过程界面
得到如下提示
选择我已收到验证码就跳转到一个修改密码的页面,如下
在这一步抓包。得到如下包文
将包文中的verifycode进行重复提交后发现会提示
这样的话。就要想办法去突破。
经过一系列尝试后发现如果在phone=的号码后面添加不为数字的字符时,可以绕过此限制。于是推理出其判断方法
如果phone=的尝试次数大于阀值,则提示请求过于频繁
但在这一步之前没有对phone进行提纯。所以可以将特殊字符带入
但在下一步的时候进行了提纯。只取了phone中的数字部分。
然后在取出此号码的verifycode进行比对。
比对成功则修改密码
修改密码成功
这个地方的薄弱环节在于微信重置密码的验证码为4-5位纯数字。
且数字范围在之间
也就是说。我只要尝试19000次。我用50个线程发包.3分钟即可成功修改一个密码。
在发现此漏洞后。我修改了两个人的微信帐号。
一个是最近很喜欢的明星柳岩的经纪人
柳岩在微搏上公布了经纪人的手机号。
成功修改进入后。通过微信自带的离线消息查看功能。可以成功查看其所有QQ好友
于是得到了柳岩的QQ号。。但是拒绝添加好友了。。伤心
这里由于隐私原因。就不上图了。
另外一个是腾讯的某高管。我在百度上搜索到了腾讯高管的list
然后通过list里的手机号修改了其密码。和尊敬的马化腾马大哥进行了一次亲密的交谈。
由于夜深了。他不在线。所以没收到其回应。附图几张。
网友和&小马哥&开玩笑
和马哥开了个小玩笑。
然后找到了最近正好很火的周鸿祎手机泄漏的视频。
同样通过音频分析得到号码。尝试修改其微信密码。。
发现周哥果然没有注册微信。放弃了尝试。漏洞证明:
来源 only_guest@乌云
阅读(...) 评论()微信支付现漏洞:可绕开卡密码3分钟转走银行卡余额 - 中国一卡通网
新闻搜索:
微信支付现漏洞:可绕开卡密码3分钟转走银行卡余额
关键字:&&&&&&
摘&&&要:如果你去餐馆吃饭,把手机和钱包放在座位上,而钱包里有身份证和银行卡。在不知道银行卡密码的情况下,只要3分钟时间,坏人就能把你银行卡里的钱转走。听到这个消息,你会吃惊吗?这绝非耸人听闻,上述情况是记者亲身体验确认证实的,体验是在360手机安全专家指导下进行的。对于手机微信支付的安全隐患,本报予以独家披露。
  如果你去餐馆吃饭,把手机和钱包放在座位上,而钱包里有身份证和银行卡。在不知道银行卡密码的情况下,只要3分钟时间,坏人就能把你银行卡里的钱转走。听到这个消息,你会吃惊吗?这绝非耸人听闻,上述情况是记者亲身体验确认证实的,体验是在360手机安全专家指导下进行的。对于手机微信支付的安全隐患,本报予以独家披露。
  绕开密码3分钟转走卡里钱
  本次体验采访假定的情节是,记者拿到了陌生人未保管好的手机和钱包,钱包里有身份证和银行卡,且银行卡预留手机号为本机号码。
  记者登录微信后,使用自己和对方手机将两人加为微信好友。
  记者使用对方手机,进入微信支付&钱包&界面,将对方手机微信账号和对方的银行卡绑定。绑定前,记者需要填写对方的银行卡卡号。对方手机收到系统发来的短信验证码后,记者按提示把验证码输入到微信操作界面,显示绑定成功。
  绑定时,微信会要求设定支付密码。记者在对方手机微信内设置了支付密码。记者在对方微信通讯录内找到了自己的微信账号,点击转账。记者把刚才设置的支付密码输入一遍后,系统显示转账成功,转账金额为1元钱。很快,对方手机就接到了银行账户余额变动的提示,账户余额少了1元。
  整个过程耗时3分钟
  从拿到对方的手机和钱包,到绑定成功再到转账完毕,整个过程只耗时3分钟。如果实施操作的是别有用心的不法人员,后果将不堪设想。
  对于体验结果,记者随机采访了几位市民,他们脸上满是惊讶的表情。&天哪,我经常把手机、银行卡和身份证放在一起,想不到有如此严重的安全隐患!&市民吴女士说。&以后可得加小心了,万一手机、银行卡和身份证一起丢了,万一吃饭去厕所时被坏人盯上了&&3分钟,可能就是系个鞋带的工夫。&
  记者获悉,在微信支付转账金额方面,已绑卡开通微信支付的用户每日最高转账金额为2万元,未绑卡开通微信支付的用户每日最高可转账金额为200元;已绑卡开通微信支付的用户每日收款最高额为2万元,未绑卡用户最高收款额为3000元。若收款方在1日内未予确认,款项将会退还给支付方。
  转账为啥不需要银行卡密码
  记者体验时发现,用户登录微信后,一段时间之内是不需要重新输入密码登录系统的。所以,记者拿到了陌生人的手机,可直接对其微信账号进行操作。转账时,需要输入设定好的微信支付密码,而不是银行卡密码;并且,由于是记者用对方手机绑定了微信和银行卡,支付密码是记者设置的。因而,记者才能成功转账。那么,微信支付转账为何不需要银行卡密码呢?
  对此,360安全专家陈冲说,微信支付以绑定银行卡的快捷支付为基础,与其他第三方支付平台一样,采用标准的快捷支付机制:即用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,完成支付。手机短信验证替代银行密码,在方便市民操作的同时,也留下了安全隐患。
  陈冲建议,市民尽量不要把手机、银行卡和身份证放在一起,如果被&连窝端&,将会留下严重的安全隐患。另外,市民要给手机设置一个相对复杂的解锁密码,如此不法人员就难以对手机进行操作。
新闻投稿合作邮箱:&&&&字体[
01/1601/1601/0801/0801/0512/1711/2510/0806/2006/13
新闻榜12345678910
推荐新闻01/1901/1201/1201/1101/0612/2912/2612/2512/2212/20
产品分类:&&&&&&调查发现微信存在漏洞:冒充微信助手骗密码_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
调查发现微信存在漏洞:冒充微信助手骗密码
谷一商盟学院,网络整合营销第一品牌!|
总评分0.0|
阅读已结束,下载本文需要
想免费下载更多文档?
定制HR最喜欢的简历
你可能喜欢微信惊现惊天盗号漏洞,一分钟解绑手机号,邮箱,修改资金密码!
小编想注册第二个微信,尝试了很久,终于发现了一个方式,但也发现了微信的惊天盗号漏洞!(小编并非盗号,只是揭露这个漏洞,希望引起大家的警觉!注意资金安全问题)
盗号步骤如下
只需要知道别人的微信号就可以
进入微信登陆页面,选择“使用其他方式登陆”,点击“忘记密码”。
用该手机号根据提示发送短信,点击下一步即可。发送短信后,会收到官方发送的新的登录密码。部分账号会有后续操作,会要求填写个人信息,按照提示操作即可。
此时,进入登录页面进行登录。登录时,会要求填写手机号码,接下来退出关闭,重新用账号登录即可。
登录成功后,会发现手机号已经解绑成功,系统也会提示绑定新的手机号,选择“暂不验证”即可。
由此,我们便成功的解绑了手机号,而该手机号也可以从新注册了。
到这里不知道大家应该明白了,只需要知道别人的微信号,就可以轻而易举的盗取别人的号,小编亲测(跟朋友商量好之后盗了朋友的号),这样操作之后不只是手机号被解绑了,绑定的邮箱,qq,也解绑了,然后小编绑定自己的手机号和邮箱之后顺利将资金密码修改,然后转出所有资金!!!可谓是惊天漏洞!想想多可怕,如果小编是个坏人,还不是分分钟盗取别人好多钱!!!
29号发现这个大漏洞之后,小编立即删除了28号写的微信解绑手机号的教程,以防别不法分子学去盗取别人钱财!(很多收藏了小编文章的朋友应该有发现)并紧急联系腾讯官方向其反馈!
以下为联系腾讯客服的截图
29号没有得到腾讯客服的回复,小编就休息了。日上午,小编重新测试,发现腾讯已经修复了漏洞,不能盗号了,但还是可以解绑手机号,前三步和之前一样,第四步开始变化了,想注册第二个微信的朋友可以照此方法解绑手机号,再注册第二个账号。
腾讯是小编最喜欢的公司(除了自己的公司之外),一直以来非常信任,没想到腾讯会出这么大漏洞,还好没酿成大祸。发此文希望能警示大家注意资金安全问题。
小编反馈后腾讯的反应速度还是很快的,一晚上就修复了,所以还是会继续支持腾讯。反正微信里放着的只是生活支付的小钱,小编的钱大部分都在币易平台买了数字货币放着。既安全又升值的快。
小编是数字货币玩家,小编现在主要在币易平台玩,主要还是玩比特币,以太坊,EOS等主流币,也玩一些优质的新币,例如Rcoin,量子链之类的。喜欢的朋友(币友)可以留言交流。对文章打分
[图]网友曝光微信密码漏洞 柳岩马化腾账号被入侵
阅读 (66075) 评论 (0)
阅读 (30638) 评论 (12)
阅读 (27446) 评论 (1)
阅读 (66101) 评论 (0)
阅读 (39359) 评论 (2)
阅读 (36479) 评论 (28)
Advertisment ad adsense googles cpro.baidu.com

我要回帖

更多关于 微信异地登录密码错误 的文章

 

随机推荐