网易 52G 账户数据精准索引查询工具

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

爱意满满的作品展示区。

This topic created in 3670 days ago, the information mentioned may be changed or developed.

也不是什么大新闻了。

http://bakatest.github.io/find-my-trousers/

(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)

52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引，查询性能是 O(1)，误正率 0.1% 10000 次查询 1 次假阳性。

输入邮箱和密码，会用 Javascript 哈希出对应的索引值，把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊，试了自己所有的邮箱密码组合，都没中，稍微有点小失望，所以如果你不幸中了求晒个贴图 XD

最后，源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~

索引值

索引

uniq

查询

34 replies 2018-03-17 19:19:34 +08:00

v1024

Apr 12, 2016

”输入邮箱和密码“

敢问楼主是在创造新库吗…

xiaoz

Apr 12, 2016

@v1024 +1 ，估计原本用户密码没有被泄露，通过这个一查，然后过几天泄露了。

jugelizi

Apr 12, 2016

@v1024 "会用 Javascript 哈希出对应的索引值，把索引值提交给服务器就能知道些什么了"

kirisetsz

Apr 12, 2016

@v1024 创建一个 (h1, h2, h3, h4, ..., h13) 不知道邮箱和密码的东西能叫库？

Moker

Apr 12, 2016

话说查是否蟹肉应该不用密码啊，没密码不影响结果啊

shinko

Apr 12, 2016

提供整理后的数据吗

kirisetsz

Apr 12, 2016

@Moker 改过密码的账户不知道泄漏的是改之前的还是改之后的密码，可以做二次查询嘛。

kirisetsz

Apr 12, 2016

@shinko 不提供，但是仓库里有脚本

iyaozhen

Apr 12, 2016

found: true 哎，果然中了

库应该就是 wooyun 那个时间点，因为之后改过密码，改过的密码没有中

shinko

Apr 12, 2016

@kirisetsz 看到了，谢谢

twor2

Apr 12, 2016

查询了好几个，都没有风险，好失落

ChenYounG

Apr 12, 2016

163password 那边查的已被爆，到楼主这边安全了

wahyd4

Apr 12, 2016

楼主在骗密码吧。

kirisetsz

Apr 12, 2016

@wahyd4 乃们说骗密码的麻烦耐心把帖子看完啦……

rock_cloud

Apr 12, 2016

布隆过滤器啊，放心了

Suclogger

Apr 12, 2016

很漂亮,想法也不错,赞一个

kaneyuki

Apr 12, 2016

额？出事之前的密码居然试了也没中。
能否做一个只检测邮箱的接口呢

21grams

Apr 12, 2016

懒得看代码确认是不是像楼主说的那样，所以保险起见还是不试了。

kirisetsz

Apr 12, 2016

@kaneyuki 只检测邮箱的话可以使用 https://163password.download (梯子)，现在索引的邮箱是大小写敏感的，刚刚改了一下，正在更新索引+移动到服务器上，还有就是 Javascript 实现的 hasher 对中文密码支持稍微有点问题，用 Unicode 密码可能是检索不到的，目前已知是这两个问题。

@21grams 可以试试 [email protected] 密码 0 开个控制台抓个包什么的，如果在 163password.download 没有命中邮箱的话确实没必要再用这个工具确认密码