我想黑了我老公微博,找到新浪微博账号密码大全,怎么黑

来源:蜘蛛抓取(WebSpider) 时间:2018-06-08 17:57 标签: 2016新浪微博账号密码
(一天能睡12小时)
(hallelujah)
(瓜皮本人)
第三方登录:科普·手机黑客攻防实例(一):如何黑掉别人的微博
我的图书馆
科普·手机黑客攻防实例(一):如何黑掉别人的微博
严正声明: 若无特别说明 ,本系列及本站所有内容均为站长 (_v7__ ) 原创 ,未经作者本人许可禁止以任何形式转载 。本站内容涉及互联网攻防技术仅在作者私人账户中实验成功 ,以作学术交流使用 ,不得用于非法行为否则法律后果自负与本站无关 。在本站的上一篇文章中 ,我展示了一个简单的攻击实例 ,在那次攻击中 ,最后被攻击者打开网页的时候会弹出一个对话框 ,对话框显示“Hacked by _v7__”字样 。在文中我提及“实际上黑客真的要做事情 ,远远不止给你的网页弹一句话这么简单” ,那么这次我就来说一下什么是所谓的“不那么简单” ,这次我们稍微复杂一些 。0x01 手机黑客的 Cookie 劫持“Cookie 劫持”是术语 ,对于非专业领域的人来可能不知所云 ,我这里做简单解释: 1. Cookie 可以认为是你登陆网站之后 ,网站发给你的凭证 ,有这个凭证网站就认为那是你 ,好比身份证 。2. Cookie 劫持就是在你登陆网站之后 ,通过注入攻击拿到你的凭证 ,用这个凭证去登陆网站 ,冒充你 ,好比做了一张一模一样的假身份证 ,去行骗 。3. 不同的网站有不同的 Cookie ,Cookie 也会过期但不像身份证那样几十年十几年才过期 ,Cookie 的过期时间不一定但一般都是几天之类的有效期 。“Cookie 劫持“对专业领域的人并不陌生 ,它是发现网站 XSS 类型漏洞时候的常见攻击类型 ,而黑客手机在一定程度上省去了挖网站漏洞的工作 (实际上这个工作还是非常有难度的)
,可以直接进行注入劫持攻击 。我们在中注入了一个简单 JS 脚本 ,所以注入过程就不再重复说了 ,而 Cookie 的劫持 ,此处也一样通过注入 JS 脚本完成 ,下面我给出注入脚本截图:
非常简单的三句话 ,通过 JS 拿到被攻击者的 Cookie ,并通过访问一个黑客自己的地址将 Cookie 发送出去 (图中的地址是假的 ,以作示意)
,这段代码的原理 ,可能需要一点专业知识 ,它通过创建一个假的 img 标签 ,在用户访问时候 img 去取提前设计好的 src ,将 Cookie 传送出去 ,黑客拿到 Cookie 后 ,使用这个登陆相应的网站 ,就和你自己用密码登陆是完全一样的效果了 。0x02 Cookie 劫持的致命弱点Cookie 劫持非常恐怖 ,它能轻易像拿到你的密码一样登陆的你账户 ,但是它有一个致命弱点 ,就是 JS 获取 Cookie 的时候是有限制的 ,通过设置 Cookie 的 HTTP-ONLY 属性网站设计者能够控制关键的 Cookie 不允许 JS 获取 。在上面这种情况下 ,黑客拿到的 Cookie 是缺失的 ,这个不完整的 Cookie 无法登陆网站完成假冒 。可以说 HTTP-ONLY 属性有着四两拨千斤的作用 。下图显示我的微博的部分 Cookie ,其中后面有 Http 标示的即为 JS 拿不到的 Cookie (部分信息被我马赛克了) :
当然 ,网络攻防技术道一尺魔一丈 ,HTTP-ONLY 也不是绝对安全的 ,实际上曾经有过黑客通过别的网站 bug 绕过 HTTP-ONLY 拿到过 Cookie ,不是本篇主要内容就按下不表了 。0x03 除了 Cookie 劫持呢? 既然大家知道 Cookie 劫持的弱点 ,网站设计者肯定尽力避免 ,这使通过 JS 拿到 Cookie 变得很难 ,然而 ,黑客不在乎 ,他们只想找到你木桶的最短一根木板 ,然后攻之 。思路就是 ,既然我们拿 Cookie 不容易 ,那就暂且不拿 ,直接用 ,于是就有了下面的攻击案例 ,借助黑客手机我们完成一次攻击 ,简单介绍一下: 目的: 用黑客手机攻击我自己的电脑 ,让我电脑自动发一条微博 。场景: 我已经在自己电脑上登录微博 。步骤:
注入选择我的电脑为目标 ,注入提前写好的脚本效果:
只要我刷新我的微博页面 ,脚本就会起作用 ,自动用我的账户发一条微博 ,微博内容是“hacked by _v7__' 。下面通过几张截图看一下: 我的微博现在是这个样子:
我选择我的攻击脚本:
严正声明: 若无特别说明 ,本系列及本站所有内容均为站长 (_v7__ ) 原创 ,未经作者本人许可禁止以任何形式转载 。本站内容涉及互联网攻防技术仅在作者私人账户中实验成功 ,以作学术交流使用 ,不得用于非法行为否则法律后果自负与本站无关 。在本站的上一篇文章中 ,我展示了一个简单的攻击实例 ,在那次攻击中 ,最后被攻击者打开网页的时候会弹出一个对话框 ,对话框显示“Hacked by _v7__”字样 。在文中我提及“实际上黑客真的要做事情 ,远远不止给你的网页弹一句话这么简单” ,那么这次我就来说一下什么是所谓的“不那么简单” ,这次我们稍微复杂一些 。0x01 手机黑客的 Cookie 劫持“Cookie 劫持”是术语 ,对于非专业领域的人来可能不知所云 ,我这里做简单解释: 1. Cookie 可以认为是你登陆网站之后 ,网站发给你的凭证 ,有这个凭证网站就认为那是你 ,好比身份证 。2. Cookie 劫持就是在你登陆网站之后 ,通过注入攻击拿到你的凭证 ,用这个凭证去登陆网站 ,冒充你 ,好比做了一张一模一样的假身份证 ,去行骗 。3. 不同的网站有不同的 Cookie ,Cookie 也会过期但不像身份证那样几十年十几年才过期 ,Cookie 的过期时间不一定但一般都是几天之类的有效期 。“Cookie 劫持“对专业领域的人并不陌生 ,它是发现网站 XSS 类型漏洞时候的常见攻击类型 ,而黑客手机在一定程度上省去了挖网站漏洞的工作 (实际上这个工作还是非常有难度的)
,可以直接进行注入劫持攻击 。我们在中注入了一个简单 JS 脚本 ,所以注入过程就不再重复说了 ,而 Cookie 的劫持 ,此处也一样通过注入 JS 脚本完成 ,下面我给出注入脚本截图:
非常简单的三句话 ,通过 JS 拿到被攻击者的 Cookie ,并通过访问一个黑客自己的地址将 Cookie 发送出去 (图中的地址是假的 ,以作示意)
,这段代码的原理 ,可能需要一点专业知识 ,它通过创建一个假的 img 标签 ,在用户访问时候 img 去取提前设计好的 src ,将 Cookie 传送出去 ,黑客拿到 Cookie 后 ,使用这个登陆相应的网站 ,就和你自己用密码登陆是完全一样的效果了 。0x02 Cookie 劫持的致命弱点Cookie 劫持非常恐怖 ,它能轻易像拿到你的密码一样登陆的你账户 ,但是它有一个致命弱点 ,就是 JS 获取 Cookie 的时候是有限制的 ,通过设置 Cookie 的 HTTP-ONLY 属性网站设计者能够控制关键的 Cookie 不允许 JS 获取 。在上面这种情况下 ,黑客拿到的 Cookie 是缺失的 ,这个不完整的 Cookie 无法登陆网站完成假冒 。可以说 HTTP-ONLY 属性有着四两拨千斤的作用 。下图显示我的微博的部分 Cookie ,其中后面有 Http 标示的即为 JS 拿不到的 Cookie (部分信息被我马赛克了) :
当然 ,网络攻防技术道一尺魔一丈 ,HTTP-ONLY 也不是绝对安全的 ,实际上曾经有过黑客通过别的网站 bug 绕过 HTTP-ONLY 拿到过 Cookie ,不是本篇主要内容就按下不表了 。0x03 除了 Cookie 劫持呢? 既然大家知道 Cookie 劫持的弱点 ,网站设计者肯定尽力避免 ,这使通过 JS 拿到 Cookie 变得很难 ,然而 ,黑客不在乎 ,他们只想找到你木桶的最短一根木板 ,然后攻之 。思路就是 ,既然我们拿 Cookie 不容易 ,那就暂且不拿 ,直接用 ,于是就有了下面的攻击案例 ,借助黑客手机我们完成一次攻击 ,简单介绍一下: 目的: 用黑客手机攻击我自己的电脑 ,让我电脑自动发一条微博 。场景: 我已经在自己电脑上登录微博 。步骤:
注入选择我的电脑为目标 ,注入提前写好的脚本效果:
只要我刷新我的微博页面 ,脚本就会起作用 ,自动用我的账户发一条微博 ,微博内容是“hacked by _v7__' 。下面通过几张截图看一下: 我的微博现在是这个样子:
我选择我的攻击脚本:
我刷新一下我的微博 (有微博发布框的一页)
,我的账户自动发送了一条微博 ,显示由微博网页发送 ,实际上是我自己攻击了我自己:
攻击完成 ,攻击脚本也在截图里了 。0x04 总结黑客手机让攻击更加方便了 ,而诸如此类 JS 注入的浏览器攻击 ,完全省去了 XSS 漏洞的挖掘工作 ,而你带上一部手机 ,去大街上连一个 wifi 就可能黑掉路人的微博 。也又一次佐证 ,wifi 不能乱连 。
喜欢该文的人也喜欢新浪微博账户可以被黑客黑进去吗,就是能知道账号密码登陆进去,很好奇谁知道哦~~_百度宝宝知道只记得昵称,忘记登录名和密码,怎么找回登录名?(新浪微博)_百度知道
只记得昵称,忘记登录名和密码,怎么找回登录名?(新浪微博)
我有更好的答案
我只记得网名叫【一帘幽梦】登录数字忘了,谢谢了
登录是你的新浪邮箱或其他注册邮箱,如果是手机注册的,那登录名就是手机号
昵称是什么?叫你的同学或朋友在新浪围脖上搜一下!还有一个更好的办法:假如你用的是手机注册,则可以通过你的同学用新浪的手机客户端-〉通讯录-〉你的注册手机号码,你会得到你想要的结果;要是想以邮箱注册,那新浪一般都会在你注册之后发个邮件给你,只要找到那邮件,你就知道用户名了。
我也正愁这事呢
另开一个 我就是
那没办法找了,登录名你也不知道
看样子是新注册的号吧
在申请个!
如果是用手机注册的话,登录名就是你的手机号@sina.cn,密码可以找回。网站注册的话,想一下你当时的注册邮箱,用它登陆。实在找不回的话,再注册一个吧,很简单的
点找回登录名?
其他3条回答
为您推荐:
其他类似问题
您可能关注的内容
新浪微博的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。

我要回帖

更多关于 2016新浪微博账号密码 的文章

 

随机推荐