对最近激战2盗号事件的一些个人见解以及防范手段建议

这几天貌似被盗号的不少,虽说有些不知道是真是假,但是身在安徽的我昨天发现自己上次登录是辽宁的时候已经没法淡定了,好在账号依然完好无损,可能是因为我账号上几十颗宝石十几个金币盗号的看不上吧?

其中有一件很诡异的事情就是我是个性账号注册,所以用我的邮箱没法登录,而我在空中网的账号是目前对我自己来说独一无二的、没有在任何其他网站用过的新用户名,目前网络上肯定流通着不止一个账号密码库,因为只要我把126邮箱的密码改回老密码,很快就会有异地登陆,而上次心血漏洞爆出之后,以及在乌云看到那么多雷劈条目,我就知道以前那个老密码是死活不能再用了。

因此我就做出了以下的一些猜(yi)想(yin)

由于我不是学这东西的,所以很有可能是错的,当个笑话看就好。

估计有不少人应该碰到过校内网的XSS漏洞问题,具体情况就是你的账号只要登录着,就算没人碰,也会莫名其妙的发出一篇广告日志,后来自然是修复了,但是这个漏洞就是应用很广泛的跨站脚本攻击(XSS),一般来说获取不着你的密码(心血漏洞倒是可以),但是能获取你的cookies,然后通过cookies伪装成你的身份进行一些见不得人的活动。

因为我的账号之前选了自动登录,所以我的一切信息包括用户名都存在cookies里了,而且我还在官网和论坛绕了一圈,天晓得中间有没有碰到什么。由于做网站的再傻也不会在服务器明文储存密码,所以后台盗密码估计不太可能,但是盗几个cookies就不好说了。

如果我的cookies被盗了,直接通过cookies进后台应该是可以的,但是被盗号的似乎都说密码没被改。那么为什么异地登陆的家伙没进游戏盗我的号呢?真存在“养肥了再杀”这种情况吗?看看各种被盗的帖子,比我穷的人也是有的,照样被盗了个精光。而且我当时就绑了个邮箱。所以我猜这时候可能是直接字典破解密码,如果你的密码很弱(也许你自我感觉良好),那就不说什么了。

刚刚我还闲着无聊试着更改安全邮箱,需要填一个6位数的验证码,我手动从000000试到000050,都提示我验证码错误,然后再输入对的验证码居然还可以下一步……难道没有限制次数或者时间吗?(试的次数不多,不知道算不算安全隐患)

对此的应对方法:

  • 绑一个密保卡。千万别学我一个同学把电子密保卡保存在邮箱里。
  • 每次登录过空中网之后把账号注销掉。这时候cookies就失效了。
  • 把邮箱密码和登录密码换成强一些的,不要和任何别的网站一致的。比如用Lastpass。目前我各个网站的密码都是类似aoVm2ZT1S4mO这种形式,无视各种暴力和字典破解,问题就是有时候我自己用起来也麻烦……

之前记得有谁问过我心血漏洞会不会影响到LotC,我的回答是:不会
心血漏洞是针对OpenSSL的,而我根本连个SSL证书都买不起,你们的账号密码根本就没有保障,不过话说回来,这个网站的账号有什么被盗的价值啊?什么?你说你在这儿也用你的常用密码了?

那可不怪我吧。

分享到: