今天討論的是信息安全的問題,具體是關於西電的校園網賬號和密碼。自己當時寫了一個工具,距今也半年多了,現在想跟大家分享一下。
首先打開西電校園網的計費系統(當然只能內網能進):
http://zyzfw.xidian.edu.cn/index.php
就是這個頁面,需要輸入用戶名,密碼和驗證碼。
用戶名是學號,密碼默認是身份證后六位,也就說最大值是320000,驗證碼是4位數字。
在火狐瀏覽器上打開這個網址,並且打開firebug插件,咱們進行登陸抓包。
大家可以看到用戶名,密碼和驗證碼都是通過明文發送,這樣就把暴力破解的難度降低了。
接下來暴力破解的難度就在於驗證碼了。如果想快速的破解密碼,程序中必然要用到多線程,所以自動識別驗證碼是必然的,不可能人力來輸入。那這個驗證碼是否安全呢?答案是否定的。首先驗證碼是四位數字,接着圖片上的雜點太容易被去除了(這是我學習圖像工程的結果)。於是我選擇使用次時代識別引擎進行訓練來識別驗證碼,訓練了十幾組,成功率達到了98%,已經滿足要求。
最后需要寫個程序來模擬post請求,進行暴力破解就OK了。下面是我寫的程序的運行情況。
我先破解一下我自己的:
所以西電的同學們如果你們還在使用默認的密碼,你們就危險了。
上年我師兄師姐的密碼,我基本上已了然於胸,嘿嘿嘿。。。。
工具的鏈接: http://pan.baidu.com/s/1jHx8d6m 密碼:lsb5