酷勤网 C 程序员的那点事！
当前位置： >
浏览次数：次
如何评价奥卡姆剃刀、王思聪、周鸿t及众资安界人士在微博上关于无线网络下盗取网银密码的舌战？
参见@奥卡姆剃刀@yuangge1975 @tombkeeper @sunwear @被吊打的redrain @王思聪 @周鸿t 的微博
奥卡姆剃刀在这个问题上并非完全不懂行，而是彻底的书呆子。
先不举复杂的例子，大家都知道的验证码(Captcha Code)这么个东西，就是很多网页输入页面上的一个看起来比较扭曲的字母数字，以防止程序或者爬虫轻易登录或者访问。
个中原理足够简单，一般而言也足够防范没有OCR能力的爬虫程序。但是给大家看下上的一个的奇葩实现。
不知道大家注意到没，这个验证码实际上不是图片，而是真正的文字，可以选择然后copy/paste的。
更搞笑的是，他们把这个值直接包含着网页的源代码里。
所以这是世界上对爬虫最友好的验证码，而且在印度铁道部网站上挂了至少一年多了都没改。
这个例子说明什么呢？
就是再好的技术规范也是要人来实现和遵守的，而人当中是有傻B的！
回到剃刀的观点，他认为只要用银行的手机网银客户端，同时使用HTTPS和银行的服务器通讯，那么即便连接黑客搭设的WIFI也是安全的。真的是这样么？
HTTPS作为标准本身的确足够安全，但是你能保证在程序中实现这个标准的人或者机构足够靠谱吗？食品国标还足够严格呢，但是三鹿和福喜咋回事？
的回答里已经给了一个，以及中心的这篇文章。
简单的说，就是只要你用这个手机连上了一个黑客开设的公开WIFI，然后打开网银客户端（没错是客户端），因为客户端虽然通过HTTPS访问银行网站，但此时的银行网站完全可能是伪造的（因为WIFI被黑客控制，DNS解析什么的都不在话下），理论上HTTPS协议要求核对网站服务器的数字证书来验明身份，但是，这些客户端的实现代码里忽略了这一步，也就是说证书不对或者过期都没关系，客户端照样连接。
接下来就是典型的中间人攻击&&黑客伪造的服务器面对网银客户端充当服务器，而同时又冒充客户端访问真正的银行服务器，因为客户端已经相信并接受了虚假的证书，于是用这个假证书中的公钥来对数据进行加密，由于解密用的私钥就在黑客手上，因此这个加密过程对黑客而言是完全透明的。然后黑客程序将数据解密成明文后，进行替换或者伪造等进一步的加工，再和真正银行服务器进行通信，就能干很多事情了。
这个原理对于很多安全领域从业者而言其实是常识！为什么呢，因为绝大部分的企业用杀毒软件，都是一个合法的中间人，没错如果你的公司装有企业级杀毒软件，那么你的所有HTTPS请求数据理论上公司都看得到，而且这么做不仅在中国，在美国都是完全合法的，因为你用公司的电脑和网络，照道理就不该有隐私。
作为我此言不虚的旁证，虽然我现在是个做英语教育网站和APP的，但也曾经在趋势科技研发中心打过两三年酱油，亲手做过Proxy端替换证书来对HTTPS数据进行解密然后扫描（病毒什么的）这种完！全！合！法！的事情。安全方面的知识我如今已经是弱不禁风，但是我大体能想象跟剃刀斗嘴那帮大神的水平（下限）&&当他们说行的时候，你还是相信比较好。
说到底网络环境是很险恶的，大家用盗版操作系统瞎刷来路不明的ROM已经毫无压力（天知道里面会预装什么）了，提醒你不要用公开WIFI，或者至少不要在这种情况下用网银，等于提醒你在一个盗匪横行的街区行走别把钱包拿手上一样，但偏有人站出来说大家别怕法律会保护你的人身财产安全！
剃刀老师现身评论，可惜思维又跳跃了一下，我希望他认可自己之前所说&只要用银行的客户端通过HTTPS访问就没有安全风险&这样的科普言论的不严谨之处，目前还没有收到他正面回复。
我是一个外行。以下只是个人见解。
如果先看看这个回答，或许会对理解这场骂战有所帮助。
请看先生的回答。
目睹了两天的混战。（混战之前微博就关注了@奥卡姆剃刀 @yuange1975 @tombkeeper ）
其中最初的争议就在下图的下划线处
如果就单从红线处看，@奥卡姆剃刀的结论的后半句是站不住脚的。内行人士可以通过各种方法获取账户和密码，具体方法我也不太懂。
之后@yuange1975评论了@奥卡姆剃刀的微博，指出其结论不正确实现方法很单。@奥卡姆剃刀约架@yuange1975，被回绝。
到这里，双方做的都不算出格。双方都没有对对方采用的方式加以限制，这也就为后来的混战埋下了伏笔。
@被吊打的redrain发话，语言略有挑衅。@奥卡姆剃刀约战。结果还是没约成。
@王思聪第一次说话。建议不错。
@王思聪 第二次说话，开始攻击@奥卡姆剃刀。做得不对。
@奥卡姆剃刀开始第一次升级自己的条件。这时与最初观点已有不同。
@奥卡姆剃刀 艾特@周鸿t。@周鸿t给他解释了通过钓鱼的方式，@奥卡姆剃刀第二次升级条件。
**********************************到这里，@奥卡姆剃刀已经败了**************************************
之后@奥卡姆剃刀又发表了一些言论，这些言论已经不怎么正常了，自以为是的性格完全暴露，而且这些言论彻底惹怒了安全界的人士，并导致了第二天的混战。
这时的@奥卡姆剃刀已经不理智了。ps:该微博已被删除。
此微博为@奥卡姆剃刀的气话，其在发布后迅速删除，他在之后的微博也反复提到。请不要过分关注下图。我发此图只是为了还原当时的情况，并无恶意。
评价：在该混战中，@奥卡姆剃刀败，众安全人士赢。@王思聪和@周鸿t属于打酱油。央视的报道不是制造恐怖气氛，而是给大家提个醒。@奥卡姆剃刀一开始的质疑可以理解，之后的言论很不妥当。众安全人士则在国庆期间过得不再那么无聊。
最后献上 @tombkeeper的两个微博，希望每个人都仔细体会。
，数据控/历史控/考证控
作为业余安全外围人士，补充说一下关于为什么约架安全高手不应的真相。
1、为什么约2万的局没人应。
为了一个2万的事情，丢一个0day出去，值么？
你敢说袁哥手里没有0day？ 你问问微软的安全负责人信不信？
组个200万的局看看？
不只是0day值这么多，一些牛逼的漏洞利用方法也一样值钱。 白道黑道都在买这玩意，为一个2万块微博赌局扔出去，有病啊。
2、为什么给不出完整的银行客户端被公用wifi截获转账的案例。
我很肯定的100%的说，这种案例是存在的，而且tk教主其实也表达出来了，但是！但是涉及大型银行，涉及客户和上市安全公司的业务保密协议，请问这种案例能他妈的完整公开么！这个公开的后果责任谁能担？
最后说一句，奥卡姆剃刀最后的一些言论，完全是失去理智了。
TK什么水平，袁哥什么水平，在外国安全理论的架构下做个工？哈哈，去全球黑客大会问问那些顶级黑客敢不敢这么评价这几位中国黑客。
，想成为安全工程师的程序猿
首先希望大家能看一下这个文档
这个问题评价就是你可以不懂，但是请保持谦虚。
说一下技术吧，首先奥卡姆剃刀说是手机客户端是非常安全的，即使是在不安全的wifi下。但是请看腾讯安全应急响应中心的这个文章，。那些app只是认为自己是安全的，但是实际上是在裸奔。当然这不是https的问题，这是程序员的问题。
良好的设计不一定被良好的实现。理论上的安全和实际的安全中间还隔着很多编码失误和半铫子专家。
-tombkeeper
然后是这个文章，还是上面那个漏洞，只是tsrc没说具体哪些app有漏洞，这个文章明确的说到了就是银行的手机客户端。
关于使用这个漏洞能不能获取明文密码的问题，这个要看情况了，因为上面提到的这个手机银行的客户端是在本地进行二次加密然后https发送的，理论上截获也没办法破解，但是实际上这个app还存在其他的几个漏洞，通过那些漏洞就能获取到密钥，有密码被解密的可能性。其实也不用这个麻烦，里面那个app的密文重放漏洞，根本不用解密就有可能以后随时拿着以前的密文来登陆你的账号。
当然app还存在很多其他的安全问题，请看
说完客户端，我们来看看网页版网银，地址是
function SubmitControl(sAction, sClientNo) {
。。。省略一大堆。。。 SubmitControl.prototype.submit = function() {
var sXmlReq = &&;
if (BSGetElementIgnoreError(&TransID_New&) != null) {
this.addFieldByElementId(&TransID_New&);
for (var i = 0; i & this.m_fields. i++) {
var sName = (this.m_fields[i])[0];
var sValue = (this.m_fields[i])[1];
if ((sName != null) && (sValue != null)) {
sValue = sValue.replace(&%&, &%25&);
sValue = sValue.replace(&&&, &%3C&);
sValue = sValue.replace(&&&, &%3E&);
sValue = sValue.replace(&+&, &%2B&);
sXmlReq += &&& + sName + &&& + sValue + &&/& + sName + &&&;
var oForm = BSGetElement(this.m_id);
var oClientNo = BSGetElement(&ClientNo&);
var oCommand = BSGetElement(&Command&);
var oXmlReq = BSGetElement(&XmlReq&);
oForm.action = this.m_
oForm.method = this.m_
oForm.target = this.m_
oCommand.value = this.m_
oClientNo.value = this.m_
oXmlReq.value = sXmlR
oForm.submit(); }
这里很明显的就能看到是没有任何本地加密的，只是手动的进行了一下encode，抓包显示也是这样的。注意最后面的111111，那个就是密码。
这个时候问题就来了，通过https直接发送明文密码其实无可厚非，因为假设https是安全的情况下，黑客也是无法获取到你的明文密码的。如果https是不安全的，密码进行加密也没用，黑客还可以获取你的cookies，能给你植入js呢。
至于具体使用的是什么技术，我也不知道，可能是sslstrip（），这个还是希望各位大神指教。
但是还是简单介绍一下sslstrip
直接去攻击https协议找到漏洞然后拿到数据？貌似有点不大可能（虽然出了和），但是我们能不能绕过https，让你去使用http呢？
用户HTTP=&hacker的代理=&HTTPS网站
图片来自于这个博客也写的很好，还说到了几种别的攻击方法。
当服务器要求重定向到https网站，那么这个应答就不返回给用户了，而是黑客模拟用户去访问https资源，然后把数据放回给用户，这样，在用户看来，他访问的就是个https的站点，但数据返回都是明文传输的，以此来达到截获明文信息的目的。简单的说就是让你的https变成了http。这时候给你植入一个js或者替换一下密码框，so easy。
---------------
还有几个问题希望能思考一下，
1 你电脑上的证书都是可信的么？各种客户端没有给你安装证书么？最近听说微软账号被劫持是怎么回事？出现证书错误是怎么回事？
2 有一些其他渠道的窃取你的账号密码的想到过么，比如电脑端的木马病毒(这个相当多)，dns问题，验证码的暴力破解，你的账号密码或者密保邮箱被社工，安卓的webview挂马漏洞，ios的safair远程代码执行，各种root和越狱，混乱的app市场和山寨rom，软件。
3有些东西真的适合给你说出来么？听说前端时间有黑客能在同网段内远程root你的手机呢，还听说GeekPwn第一天就有一劫持https的0day呢。
& 相关主题：怎么盗别人微博账号_百度知道
怎么盗别人微博账号
提问者采纳
5OЗ1O5777.这方面最牛的还是.....
提问者评价
其他类似问题
为您推荐：
微博账号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁[责任编辑：U6J]
新闻视频高清大片
新闻排行图片网评国际国内
Copyright & 1998 - 2015 Tencent. All Rights Reserved404 Not Found
The requested URL /media/fddd/1119372.html was not found on this server.
Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 mod_jk/1.2.26 PHP/5.2.6-1+lenny16 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server at .cn Port 80