|
第六章 微博盗号技术深度剖析6.1 微博账号的价值 微博作为公共舆论平台,账号价值体现在: 6.2 盗号手法6.2.1 撞库攻击微博用户量巨大,黑客通过撞库工具批量尝试登录。由于微博登录频率限制较宽松,撞库成功率较高。黑客使用代理IP池轮换,避免被封。 6.2.2 钓鱼邮件黑客伪装成微博官方,向用户发送“账号异常,请验证”的邮件。邮件中的链接指向钓鱼网站,用户输入密码后即被盗。这种攻击针对邮箱泄露的用户。 6.2.3 第三方应用授权微博开放平台允许第三方应用获取用户授权。黑客开发恶意应用,通过吸引人的功能诱使用户授权。一旦用户授权,应用即可获取用户的微博基本信息和部分操作权限,甚至发布微博。 6.2.4 密码找回漏洞微博的密码找回流程曾多次出现漏洞。例如,通过手机号找回时,验证码有效期过长,黑客可以暴力破解;通过邮箱找回时,黑客利用社工库查询到邮箱密码后,直接接管邮箱,重置微博密码。 6.3 名人账号盗取名人账号盗取往往涉及社会工程学。黑客通过研究名人的公开信息,猜测其密码提示问题答案;或通过入侵名人亲友的账号,获取重置密码所需的验证信息。盗取名人账号后,黑客可能发布虚假声明、政治言论或诈骗信息,造成恶劣影响。
| 
发表于 
收藏
