第20章 初试锋芒
『如果章节错误,点此举报』
第(1/3)页
“要戴罪,才能立功。好彩头。”老米又补充了一句。
其实对我而言,只要能使用这台机器,它叫‘最’或是‘罪’,并没有什么区别。
“你打算怎么弄?”老米问我。
“这个APP的数据库在高防机房,想直接攻进去太麻烦。所以我觉得,倒不如用客户端模拟出来……”
随后,我跟老米说了我的数据攫取思路:与其费力去破解高防机房的数据库,倒不如在本地模拟出许多台手机——因为用户在使用这款通讯录同步APP的时候,大多数都是用手机号码登录,这样我们就可以轻易获取用户名。另外,这种不涉及资金的APP。用户往往只会用最简单的密码,这也就给撞库提供了最佳的操作空间。
——所谓撞库,是一个常用的破解方式。许多人的邮箱、微信、淘宝、论坛账号用的都是相同的密码,一旦获取了其中之一,那么其他几个也可以直接破解。从我多年破解经验来看,撞库的成功率是非常高的,如此高的成功率,主要原因是……
大家都懒得用复杂密码。
所以,像12345678这种密码,还是有非常多的人在使用,通常接近10%。
我有一个密码字典,里面统计了前1000位最高频密码。我从别的黑客那里买来了这个字典。过去几十年,世界上曾发生无数起密码泄露事件,这个密码字典,就是从一些已泄露的密码中分析而来。密码字典被我拿到手之后,我对它进行了进一步的改善——其实最主要是做了一些‘中国化’的改善。比如,中国人把密码设置成8个8的概率要远高于外国人,再比如‘mima123’这类拼音密码,也是中国人专属。
有这个密码字典,我猜成功保底也有20%。而破解深圳20%的手机通讯录,足够得到全深圳的手机号了。
不过,要这样做,还需要其他一些条件,比如,我必须模拟出足够多的IP来蒙蔽服务器,让服务器认为那只是普通登录尝试,而并不是一场有预谋的数据抓取。
一个蓄谋攻击系统的人,通常会准备一些IP地址来蒙蔽对手、掩饰
(本章未完,请翻页)
第(1/3)页
“要戴罪,才能立功。好彩头。”老米又补充了一句。
其实对我而言,只要能使用这台机器,它叫‘最’或是‘罪’,并没有什么区别。
“你打算怎么弄?”老米问我。
“这个APP的数据库在高防机房,想直接攻进去太麻烦。所以我觉得,倒不如用客户端模拟出来……”
随后,我跟老米说了我的数据攫取思路:与其费力去破解高防机房的数据库,倒不如在本地模拟出许多台手机——因为用户在使用这款通讯录同步APP的时候,大多数都是用手机号码登录,这样我们就可以轻易获取用户名。另外,这种不涉及资金的APP。用户往往只会用最简单的密码,这也就给撞库提供了最佳的操作空间。
——所谓撞库,是一个常用的破解方式。许多人的邮箱、微信、淘宝、论坛账号用的都是相同的密码,一旦获取了其中之一,那么其他几个也可以直接破解。从我多年破解经验来看,撞库的成功率是非常高的,如此高的成功率,主要原因是……
大家都懒得用复杂密码。
所以,像12345678这种密码,还是有非常多的人在使用,通常接近10%。
我有一个密码字典,里面统计了前1000位最高频密码。我从别的黑客那里买来了这个字典。过去几十年,世界上曾发生无数起密码泄露事件,这个密码字典,就是从一些已泄露的密码中分析而来。密码字典被我拿到手之后,我对它进行了进一步的改善——其实最主要是做了一些‘中国化’的改善。比如,中国人把密码设置成8个8的概率要远高于外国人,再比如‘mima123’这类拼音密码,也是中国人专属。
有这个密码字典,我猜成功保底也有20%。而破解深圳20%的手机通讯录,足够得到全深圳的手机号了。
不过,要这样做,还需要其他一些条件,比如,我必须模拟出足够多的IP来蒙蔽服务器,让服务器认为那只是普通登录尝试,而并不是一场有预谋的数据抓取。
一个蓄谋攻击系统的人,通常会准备一些IP地址来蒙蔽对手、掩饰
(本章未完,请翻页)