V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jafee
V2EX  ›  分享发现

[抢票 APP 火车票达人曝漏洞 泄露 300 万用户密码]

  •  
  •   Jafee · 2015-01-08 15:52:49 +08:00 via Android · 2666 次点击
    这是一个创建于 3610 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1月8日早间消息,据360补天漏洞响应平台显示,国内流行的手机抢票APP“火车票达人”存在高危漏洞,包括数百万机票、火车票订单用户的身份证号、用户名、明文密码、详细票务信息等数据泄露。

    http://tech.sina.cn/?sa=t84d21888535v44
    11 条回复    2015-01-08 17:48:44 +08:00
    rockpine
        1
    rockpine  
       2015-01-08 15:56:28 +08:00
    那啥,有没有数据要分享的
    yfdyh000
        2
    yfdyh000  
       2015-01-08 16:14:56 +08:00
    http://loudong.360.cn/vul/info/qid/QTVA-2015-147623
    从平台信息来看,是4小时完成确认并修复。但从新闻截图来看,用的是明文密码。平台上的截图经过了二次涂抹,颜色还不相同。PS: 新闻是标题党,准确说法是“可泄露”。
    dingyaguang117
        3
    dingyaguang117  
       2015-01-08 16:46:03 +08:00 via iPhone
    嗯 及时修复了 没流传出去。 而且是总数300万订单,只有部分有密码
    surftheair
        4
    surftheair  
       2015-01-08 16:50:23 +08:00
    问一下,第三方的程序不明文的话怎么登录12306?
    yfdyh000
        5
    yfdyh000  
       2015-01-08 16:58:49 +08:00
    @surftheair 忘记这点了…
    ooh
        6
    ooh  
       2015-01-08 17:00:43 +08:00
    @yfdyh000
    @surftheair 可逆加密
    dingyaguang117
        7
    dingyaguang117  
       2015-01-08 17:05:29 +08:00
    受朋之拖来说明下, 这个是朋友提交的漏洞,信息并没有被泄露,也已经及时修复,希望大家不要再讨论这件事情了,希望不要造成太大影响,感谢。
    wzxjohn
        8
    wzxjohn  
       2015-01-08 17:07:14 +08:00 via iPhone
    @ooh 大量密文可以极大加快密钥破解,同时如果你的程序一起被盗还是一样白搭。
    ooh
        9
    ooh  
       2015-01-08 17:27:27 +08:00
    @wzxjohn 恩,非要这么说的话,我也可以说基本所有网站都无解...如果你的服务器已经沦陷,人家已经在程序校验密码处等着用户提交提交密码了
    9hills
        10
    9hills  
       2015-01-08 17:35:18 +08:00
    @ooh 不可逆和可逆差别还是很大的

    可逆密码的问题是只要拿到算法,就能反解出用户密码
    不可逆就算你知道算法,你也得靠字典去暴破,万一是个bcrypt,暴破也不行。。
    ooh
        11
    ooh  
       2015-01-08 17:48:43 +08:00
    @9hills 不可逆怎么去登陆12306
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1056 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:17 · PVG 04:17 · LAX 12:17 · JFK 15:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.