※ 引述《patentstm (暖暖苗圃没有树...)》之铭言:
: FBI公布某国家级的骇客密技:绕过去!!
: 自美国大选之后,FBI接连公布国家级骇客密技,
: 最引人注目的手法不是直接攻击帐号密码,而是“绕过去!!”
: 大型网站登入一次,有效期可维持30天到3个月,
: 与其想破脑筋破解密码,骇客直接盗取"登入有效期"资讯,
: 让网站误以为骇客的电脑还在"登入有效期"内,便可横行无阻地取得资料
: 聴说这是盗cookie, 就让专业的人来说明吧
: ref.
: https://udn.com/news/story/6897/2348767?from=udn-hotnews_ch1015
: FBI 揭密 俄罗斯骇客如何盗走5亿个Yahoo帐号
看到有乡民推文希望多懂一点 我就来献丑一下 如有错误请不吝指教
其实这也挺简单的 雅虎2000年刚起来的时候 大家对于互联网的网络安全并不重视
雅虎基本上又是互联网大头 当时又几乎人手一个雅虎帐号
在其他网站也都是用雅虎帐号来验证
在十几年前 你的密码随便一点也不会怎么样
所以有很多人的密码都太简单好猜 顶多七八个character
但现在运算速度跟内存空间跟十年前比差太多
骇客很容易用暴力硬破的(有兴趣可以参考小弟的文章
http://www.jyt0532.com/2017/02/19/password-security/)
所以密码光是hash已经不够强了 还需要加salt
那你知道要加salt后 又不能跟所有user说要更新密码 只能说建议更新密码
所以总是有少部分的密码更新速度比不上机器运算速度
当然这里的case不是单指yahoo
回到主题 俄罗斯骇客这个案件感觉跟原po说的是不同事情
原PO说的是CSRF(Cross Site Request Forgery)
这是OWASP这个project排行的网络安全第八名
基本上我们跟server能做的互动 取决于server开放给我们的权限
比如说A可以转钱到别人信箱 可是不能改B的密码 也不能把C的钱转给自己
可是今天要是有权限的话就不一样了 什么时候会有权限呢
就是你的cookie/session还有效的时候
(比如你现在开facebook不用输入密码 因为你cookie还有效)
让你在你不知情的情况下送http request
这就是你很常收到垃圾邮件或恶意邮件的时候
他都会要你点个link 那绝不是只是要你点广告冲流量而已
如果你点了 刚好你另外一个网站(比如银行)的cookie没有到期
他就可以假装是你 送http request
更多细节还是可以参考小弟的拙作 OWASP的前十名都有介绍
(http://www.jyt0532.com/2017/03/19/owasp/)
yahoo这次leak我倒要帮雅虎说话
是因为太多人yahoo跟别的网站用相同帐号密码
其他网站被破了帐密被盗了后 骇客拿来试试看雅虎的是不是也一样
结果他妈这么多人帐密跟其他很烂的网站帐密一样
而且这种每个网站帐密都一样的人也不太可能定期改密码
所以即使你之后才加salt也来不及了gg 基本上就是树大招风
Sony Dropbox JPMC其实都有被一样的攻击 只是雅虎这几年就是没有媒体缘
媒体一直抓雅虎痛处打 不然其实我们内部员工都蛮喜欢梅姐的