开心网存在重大安全隐患

今天本来想做个google gadget，把开心网的好友动态放到igoogle里面，抓包一看，nnd，吓我一跳。

发现开心网的帐户名和密码居然是通过明文传送了，太弱智了，而且登录界面居然连校验码都没有，这两个是什么概念呢？

1）先说第一点，只要有人对你的计算机进行数据扫描或者监控，好比我们公司的网管，他随便搞个ethreal或者sniff，小抓个包，眼睛扫描下，1分钟之内可以看出你的密码来。

2）第二点，做网站的都知道，没有校验码,很容易遭受密码爆破攻击。

所以奉劝大家，不要太沉迷于开心网，不要把太重要的东西或者私密的东西放到开心网，即使是开心网里面的私密日记（你想像下，帐号都被破译了，还有什么私密可言），另外，不要把开心网的帐号密码设置成同其他重要帐号的登录密码一样，否则，呵呵，下场很惨哦。

 

由于SNS大部分人用的都是实名加上真实资料，成熟的SNS网站都是采用SSL加密进行传输的，开心网看起来确实年轻了些。

下面是抓到的数据包，我将用户名和密码改成了spreadtrumtest

POST /login/login.php HTTP/1.1

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.36 Safari/525.19

Referer: http://www.kaixin001.com/login/

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

---------------: -----------------------

Cookie: _uid=4914971; _email=spreadtrumtest%40hotmail.com; SERVERID=_srv102-144_

Accept-Language: zh-CN,zh

Accept-Charset: gb18030,*,utf-8

Host: www.kaixin001.com

Content-Length: 103

Connection: Keep-Alive

url=http%3A%2F%2Fwww.kaixin001.com%2F&invisible_mode=0&email=spreadtrumtest%40hotmail.com&password=spreadtrumtest

衷心希望开心网早日改掉这个隐患，大家都是实名，真实资料，真的被黑了还是挺不好的。