真凭实据 钓鱼WIFI还是UC产品漏洞?

鉴客 发布于 2012/02/22 00:56
阅读 2K+
收藏 4

本文来自天涯社区,网址:
http://www.tianya.cn/publicforum/content/itinfo/1/167198.shtml

昨天发布的“初级黑客试验盗取'用户名密码'”教程里,仅使用了UC的浏览器,今日看到UC的声明讲到被抹黑,作为一名国人,当然更希望用民族品牌的浏览器,不过UC直接跳过显然存在的技术问题,升级到市场竞争问题,个人认为值得商榷。

为此,本人用同样的方法,将市场上大部分手机浏览器,如:Android系统自带浏览器、欧朋、QQ、360一一试过,用同样的抓图结果,来让大家明白,这实际上确实是一个UC独有的明显漏洞(详见后面其它浏览器被抓取图的情况),需要真正UC重视起来,为民族品牌争口气。

同时,我也将这件事情的核心原理说明如下,供其它技术控们指正。事实上,目前主流浏览器均使用Https的加密传输方式,Https是Http下加入SSL层,是安全的加密方式,而http是明文传送的,会被获取、监听。普通直连型的浏览器是无法抓取https协议的;而云端加速的浏览器作为一个中转代理,在用户从客户端输入用户名和密码这一登录过程中,需要将从客户端至服务器的中转页面进行加密,无论是压缩传输还是不压缩的传播,而UC浏览器的根本问题是居然没有对https协议加密。

我想,这应该不是所谓国产软件和国外的差距的,UC公司的技术实力应该是可以开发出SSL加、解密的,目前来看只是态度问题罢了。所有,和一个贴子一样,奉劝所有曾在UCWEB的“安全连接”中输入过重要帐户的密码的各位,尽快修改,以防万一。

当然,如果你所使用的浏览器讲自己是真正支持SSL的浏览器,不妨优先试试(关于SSL,感兴趣的人,可以上网查一下)。

以下是各款浏览器被抓取的包的呈现图,乱码的说明是经过加密处理的。当然,如果有人讲被抓获的HTTPS,只要有私钥也能破解其内容,但这个难度相当大了,不是一般技术机构能搞掂的,所以说,对于大量的https数据加密解密虽然会耗费很多时间,但其仍然是目前最为主要的保密方式。

Android默认浏览器(无HTTP/HTTPS数据),和Safari一样是原生浏览器,不会出现上述情况,故本人未做截图。如果有兴趣,大家也可以去试试。

 
360浏览器截图(360浏览器1.6.1)

说明:普通模式、省流量模式,无HTTP/HTTPS数据

 
豚浏览器截图(海豚浏览器7.2.1)

说明:压缩浏览器模式转到http://gate.baidu.com/?original=https%3A%2F %2Fwww.gmail.com%2F后无法访问,普通浏览模式,有单个API页面请求,和Gmail无关,,无Gmail相关的HTTP/HTTPS 数据。
 
遨游浏览器截图(遨游浏览器2.4.5Build2810)

说明:省流模式使用百度页面转码服务转到百度后无法访问,普通浏览模式,无HTTP/HTTPS数据。

 
欧朋浏览器截图(欧朋浏览器6.5.28115)

说明:未找到相关云中转设置,无HTTP/HTTPS数据


QQ浏览器截图2(QQ浏览器3.0Build0240)


QQ浏览器截图3(QQ浏览器3.0Build0240)

说明:云中转开启能够截取到HTTP请求,但比较安全,无明文账号、密码等信息。云中转关闭无HTTP/HTTPS数据。


UC浏览器截图1


UC浏览器截图2( UC8.2.2.135)

说明:未找到相关云中转设置,无HTTP数据。

除UC和QQ外,其他浏览器均抓取不到HTTP数据,不会发生泄密情况。QQ抓到的数据是无明文密码的,而UC如图所示,是对账号密码信息进行明文传输的。

测试地址说明:
httpS://www.gmail.com的账号登录页面HTTPS://accounts.google.com/ServiceLogin,怀疑Gmail使用明文密码的人是在怀疑世界最顶尖IT企业工程师们的智商。

更详细内容请看天涯原帖:
http://www.tianya.cn/publicforum/content/itinfo/1/167198.shtml

加载中
0
鉴客
鉴客
这才是真正的讲证据而不是骂街
0
ddatsh
ddatsh
坐看回复
0
RickyFeng
RickyFeng
图片中的抓包工具是什么,请问?
seaquester
seaquester
Wireshark 是抓网络封包,分析网络协议的大杀器啊
RickyFeng
RickyFeng
@红薯 : thanks.
倚小丁
倚小丁
@红薯 : +1
0
mchong
mchong
opera试了吗?这个也是通过挪威的服务器进行中转的。
0
无量神通
无量神通
看情况是UC确实存在问题,不过肯定也有商业竞争的因素在里面,这事情才会火
0
ajavaloser
ajavaloser
一般就用自带的飘过
0
张裕
张裕

各位楼上的,亲,这个是什么情况呢?情况是特别极端才会出现的啦!UC正在排查~~~~,通过升级就能解决。  亲们,升级了就没事了,赶紧升级吧~

0
jeffsui
jeffsui

引用来自“张裕”的答案

各位楼上的,亲,这个是什么情况呢?情况是特别极端才会出现的啦!UC正在排查~~~~,通过升级就能解决。  亲们,升级了就没事了,赶紧升级吧~

亲,升级了就好用了?
0
Jackarain
Jackarain
我了个去, 这哪是漏洞啊, 云端分明是在收集用户的信息. 凡是连到什么云端进行中转的这种浏览器都扔了吧...
0
张裕
张裕

引用来自“jeffsui”的答案

引用来自“张裕”的答案

各位楼上的,亲,这个是什么情况呢?情况是特别极端才会出现的啦!UC正在排查~~~~,通过升级就能解决。  亲们,升级了就没事了,赶紧升级吧~

亲,升级了就好用了?
亲 是的
返回顶部
顶部