这是一个创建于 3538 天前的主题,其中的信息可能已经有所发展或是发生改变。
也不是什么大新闻了。
http://bakatest.github.io/find-my-trousers/
(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)
52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1% 10000 次查询 1 次假阳性。
输入邮箱和密码,会用 Javascript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD
最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
http://bakatest.github.io/find-my-trousers/
(为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)
52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1% 10000 次查询 1 次假阳性。
输入邮箱和密码,会用 Javascript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD
最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
 | 1 v1024 2016-04-12 13:17:50 +08:00  7 ”输入邮箱和密码“ 敢问楼主是在创造新库吗… |
 | 5 Moker 2016-04-12 13:31:03 +08:00 话说查是否蟹肉应该不用密码啊,没密码不影响结果啊 |
 | 6 shinko 2016-04-12 13:34:38 +08:00 提供整理后的数据吗 |
 | 9 iyaozhen 2016-04-12 13:40:15 +08:00 found: true 哎,果然中了 库应该就是 wooyun 那个时间点,因为之后改过密码,改过的密码没有中 |
 | 11 twor2 2016-04-12 14:01:15 +08:00 查询了好几个,都没有风险,好失落 |
 | 12 ChenYounG 2016-04-12 14:12:40 +08:00 163password 那边查的已被爆,到楼主这边安全了 |
 | 13 wahyd4 2016-04-12 14:19:35 +08:00 楼主在骗密码吧。 |
 | 15 rock_cloud 2016-04-12 14:27:04 +08:00 布隆过滤器啊,放心了 |
 | 16 Suclogger 2016-04-12 17:52:54 +08:00 很漂亮,想法也不错,赞一个 |
 | 17 kaneyuki 2016-04-12 18:18:17 +08:00 额?出事之前的密码居然试了也没中。 能否做一个只检测邮箱的接口呢 |
 | 18 21grams 2016-04-12 18:19:39 +08:00 懒得看代码确认是不是像楼主说的那样,所以保险起见还是不试了。 |
 | 19 kirisetsz OP @kaneyuki 只检测邮箱的话可以使用 https://163password.download (梯子),现在索引的邮箱是大小写敏感的,刚刚改了一下,正在更新索引+移动到服务器上,还有就是 Javascript 实现的 hasher 对中文密码支持稍微有点问题,用 Unicode 密码可能是检索不到的,目前已知是这两个问题。 @21grams 可以试试 [email protected] 密码 0 开个控制台抓个包什么的,如果在 163password.download 没有命中邮箱的话确实没必要再用这个工具确认密码 |
 | 20 newton108 2016-04-12 18:49:54 +08:00 从库里复制了几个邮箱查,全查不到。 |
 | 22 sheiaini 2016-04-12 19:39:17 +08:00 https://163password.download/ |
 | 24 ifconfig 2016-04-12 21:22:31 +08:00 楼主 6666 , http://163.donothackme.club 也可以查,唧唧 |
 | 25 daybyday 2016-04-12 23:26:28 +08:00 话说在百度云盘下载的 52G 库 文件名为: 163mail1.zip, 163mail2.zip ... 可有谁知道解压密码? |
| 27 daybyday 2016-04-12 23:36:08 +08:00 哦,找到了 |
 | 30 songkaiape 2016-04-14 09:43:57 +08:00 @daybyday 能否分享一份给我, 52G 数据库? |
| 31 daybyday 2016-04-14 10:41:28 +08:00 |
Select Language