这是一个创建于 2936 天前的主题,其中的信息可能已经有所发展或是发生改变。
也不是什么大新闻了。
http://bakatest.github.io/find-my-trousers/
(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)
52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1%—— 10000 次查询 1 次假阳性。
输入邮箱和密码,会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD
最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
http://bakatest.github.io/find-my-trousers/
(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)
52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1%—— 10000 次查询 1 次假阳性。
输入邮箱和密码,会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD
最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
 |
1
v1024 2016-04-12 13:17:50 +08:00  7
”输入邮箱和密码“
敢问楼主是在创造新库吗… |
 |
5
Moker 2016-04-12 13:31:03 +08:00
话说查是否蟹肉应该不用密码啊,没密码不影响结果啊
|
 |
6
shinko 2016-04-12 13:34:38 +08:00
提供整理后的数据吗
|
 |
9
iyaozhen 2016-04-12 13:40:15 +08:00
found: true 哎,果然中了
库应该就是 wooyun 那个时间点,因为之后改过密码,改过的密码没有中 |
 |
11
twor2 2016-04-12 14:01:15 +08:00
查询了好几个,都没有风险,好失落
|
 |
12
ChenYounG 2016-04-12 14:12:40 +08:00
163password 那边查的已被爆,到楼主这边安全了
|
 |
13
wahyd4 2016-04-12 14:19:35 +08:00
楼主在骗密码吧。
|
 |
15
rock_cloud 2016-04-12 14:27:04 +08:00
布隆过滤器啊,放心了
|
 |
16
Suclogger 2016-04-12 17:52:54 +08:00
很漂亮,想法也不错,赞一个
|
 |
17
kaneyuki 2016-04-12 18:18:17 +08:00
额?出事之前的密码居然试了也没中。
能否做一个只检测邮箱的接口呢 |
 |
18
21grams 2016-04-12 18:19:39 +08:00
懒得看代码确认是不是像楼主说的那样,所以保险起见还是不试了。
|
 |
19
kirisetsz OP @kaneyuki 只检测邮箱的话可以使用 https://163password.download (梯子),现在索引的邮箱是大小写敏感的,刚刚改了一下,正在更新索引+移动到服务器上,还有就是 JavaScript 实现的 hasher 对中文密码支持稍微有点问题,用 Unicode 密码可能是检索不到的,目前已知是这两个问题。
@21grams 可以试试 [email protected] 密码 0 开个控制台抓个包什么的,如果在 163password.download 没有命中邮箱的话确实没必要再用这个工具确认密码 |
 |
20
newton108 2016-04-12 18:49:54 +08:00
从库里复制了几个邮箱查,全查不到。
|
 |
22
sheiaini 2016-04-12 19:39:17 +08:00
https://163password.download/
|
 |
24
ifconfig 2016-04-12 21:22:31 +08:00
楼主 6666 , http://163.donothackme.club 也可以查,唧唧
|
 |
25
daybyday 2016-04-12 23:26:28 +08:00
话说在百度云盘下载的 52G 库
文件名为: 163mail1.zip, 163mail2.zip ... 可有谁知道解压密码? |
|
27
daybyday 2016-04-12 23:36:08 +08:00
哦,找到了
|
 |
30
songkaiape 2016-04-14 09:43:57 +08:00
@daybyday 能否分享一份给我, 52G 数据库?
|
|
31
daybyday 2016-04-14 10:41:28 +08:00
|
Select Language