Hôm nay chúng tôi trong khi vào quản lý page trên zalo hacking and security tại đây http://oa.zalo.me/152101178973271158 thì đã vô tình nhập sai do ibus-unikey hoạt động chế độ tiếng việt nên đã thấy 1 điều khá thú vị ở trang quản trị page
Trang quản trị đăng nhập của zalo page tại đây
http://goo.gl/qtksfH
Nhận xét tổng quan về trang này
1: như thường lệ trang đăng nhập của zalo là quét mã QR nhưng trang quản trị này lại cho đăng nhập bằng số điện thoại và password của người dùng đã lập
2: trang web này không giới hạn số lần nhập sai password, không có capcha khi nhập sai quá nhiều, không bắt chờ khi nhập sai...
Từ hai điều trên chúng tôi này ra ý tưởng dùng brute force để hack tài khoản zalo vì các lý do sau:
1: password zalo của người dùng thường rất dễ đoán nó thường liên quan tới ngày tháng năm sinh, họ và tên người dùng, số điện thoại.....
2: do trang đăng nhập không có hình thức hạn chế cách tấn công brute force nào cả
Dẫn tới chúng tôi đã thử test với một danh sách tài khoản zalo từ bạn bè để kiểm thử kết quả thật bất ngờ sau 1h30 phút chúng tôi có thể hack được 15 tài khoản zalo trong số 50 tài khoản mang ra kiểm thử
Làm sao để an toàn tránh được mất tài khoản zalo khi mà hình thức tấn công brute force này chưa được VNG chặn? chỉ có một cáchduy nhất là bạn hãyđổi mật khẩu thành thật khó đoán với các hacker như đổi thành pass dạng chữ hoa+chữ thường+ký tự đặc biệt+số....
Chúc các bạn bảo vệ tài khoản zalo thành công!!
Trang quản trị đăng nhập của zalo page tại đây
http://goo.gl/qtksfH
Nhận xét tổng quan về trang này
1: như thường lệ trang đăng nhập của zalo là quét mã QR nhưng trang quản trị này lại cho đăng nhập bằng số điện thoại và password của người dùng đã lập
2: trang web này không giới hạn số lần nhập sai password, không có capcha khi nhập sai quá nhiều, không bắt chờ khi nhập sai...
Từ hai điều trên chúng tôi này ra ý tưởng dùng brute force để hack tài khoản zalo vì các lý do sau:
1: password zalo của người dùng thường rất dễ đoán nó thường liên quan tới ngày tháng năm sinh, họ và tên người dùng, số điện thoại.....
2: do trang đăng nhập không có hình thức hạn chế cách tấn công brute force nào cả
Dẫn tới chúng tôi đã thử test với một danh sách tài khoản zalo từ bạn bè để kiểm thử kết quả thật bất ngờ sau 1h30 phút chúng tôi có thể hack được 15 tài khoản zalo trong số 50 tài khoản mang ra kiểm thử
Làm sao để an toàn tránh được mất tài khoản zalo khi mà hình thức tấn công brute force này chưa được VNG chặn? chỉ có một cáchduy nhất là bạn hãyđổi mật khẩu thành thật khó đoán với các hacker như đổi thành pass dạng chữ hoa+chữ thường+ký tự đặc biệt+số....
Chúc các bạn bảo vệ tài khoản zalo thành công!!
0 nhận xét:
Post a Comment