r>
可以看到网站采用Sql Server数据库,而且使用sa进行登陆,在自动猜解中,已经知道校友录数据库为alumni_user,在列名中,选中name,truename,password进行破解,破解条件直接输入truename=’张三’即可,密码立刻就破解成功。大功告成!
三:乘胜追击
用破解的密码登陆其163.net的邮箱,居然密码一致,进入之后,查看其收件箱,可以发现其注册过易趣和当当网上书店,并使用过密码忘把密码发送到邮箱过,如下图:
图四
可以看到,其在当当网注册密码,与当前邮箱密码不一致,接下来登陆当当网,使用帐户和密码登陆,此时当当网的个人信息中,个人的身份证号码信息,手机号码,家庭住址均一览无遗。
在此邮箱中,查看邮箱设置中的个人资料,忘记密码栏中,提示问题的答案都已经明文显示在那里。在这里说明一下,163.net的邮箱把忘记密码的答案明文保存在个人信息中,增加了安全隐患,在163.com邮箱中和QQ等其他一些密码忘记答案设页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
