网页
资讯
视频
图片
知道
文库
贴吧
地图
采购
进入贴吧
全吧搜索
吧内搜索
搜贴
搜人
进吧
搜标签
日
一
二
三
四
五
六
签到排名:今日本吧第
个签到,
本吧因你更精彩,明天继续来努力!
本吧签到人数:0
一键签到
成为超级会员,使用一键签到
一键签到
本月漏签
0
次!
0
成为超级会员,赠送8张补签卡
如何使用?
点击日历上漏签日期,即可进行
补签
。
连续签到:
天 累计签到:
天
0
超级会员单次开通12个月以上,赠送连续签到卡3张
使用连续签到卡
09月26日
漏签
0
天
博白县中学吧
关注:
7,768
贴子:
1,310,843
看贴
图片
吧主推荐
视频
游戏
1
2
3
4
5
下一页
尾页
118
回复贴,共
5
页
,跳到
页
确定
<<返回博白县中学吧
>0< 加载中...
【可能的安全漏洞】关于我校饭卡可能的潜在安全漏洞
只看楼主
收藏
回复
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
饭卡镇楼。
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
如图所示,这是一张学校的饭卡。楼主用了一点小手段得知这张卡所用的芯片是MANGO公司生产的F-08,它是一种基于ISO14333A协议,在13.56MHz频段上工作的无线射频IC卡,这卡属于M1卡。
这些并没有问题。。。。
but……
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
如图所示,这种卡有两个密匙串,Key A和KeyB,但都是12个F……(这个一般是这类厂商的默认密码……学校懒得可以啊……连密码都不改一下……)
但也如图所示,卡内16个扇区并没有记录有任何用户信息,看起来似乎好像是安全的,但有一个问题……
如果信息不在卡上的话,还能在哪?答案是学校刷卡系统的服务器里。。。。
而服务器之所以能分辨哪张卡代表谁的账户,则是因为每张卡都有卡号!
现在问题就在这里:卡上的存储扇区的密码是出厂默认密码,那么卡上的信息就可以很容易被解码,即使卡号也不例外→_→
楼下上图
讨厌给力这个词
求醉
15
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
安全漏洞能让我损失多少钱
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
如图所示,还是mifare classic tool,直接就能显示学校饭卡的卡号(楼主出于自身安全考虑,打码了一段,但也不难看出,这些卡号只不过是一个16进制8位编号而已)
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
如果有人要利用这个漏洞的话,他只需要获得一个有效的卡号,这个卡号可以是任何人的,只要这个卡号所代表的账号有余额,他就可以克隆一张卡,用这个账户的余额,但由于这个账号并不是利用这个漏洞的人充值的,所以他可以不花自己的钱却在学校消费,相反的,这个账户的真正持有人则在不明原因的不断损失财产。
盛夏光年274
求曲
4
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
跟我说没用,我不用饭卡,再说到至今为止好像都没有发生过这样的事情
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
顺便说一下,别以为克隆一张卡很难,mifare classic tool就有写卡功能→_→而且能读写卡的软件在本朝烂大街→_→
现在的手机有NFC的越来越多,而学生不带手机是压根不可能的(这是事实,不管老蔡有多大本事他都办不到233)所以潜在作案工具很多
然后→_→某宝上就能买到卡→_→而且块把钱而已→_→
pigbot
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
嘛,这个漏洞的情况大概就是这样,希望学校能够重视并加以整改,毕竟关系到学生的财产安全问题。
如果可以的话,建议学校修改卡上所有分区的两个密匙,改得越复杂越好。
顺便说一下,M1卡这种东西,只需要破译一个密匙,那么卡上的数据就全都无保密性可言。
艹样de年华
求霸
13
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
……好后悔没好好读书一点没看懂
二二二二货青年
求爱
11
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
楼主好屌
超级小饼饼饼
求鼎
14
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
……好后悔没好好读书一点没看懂
俺是新手别鄙视
求爱
11
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
求教徒
姆QQQQQQQQQQQ
求欢
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
为技术宅顶
微惊纤维素
求己
9
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
楼主用卡是不是不用存钱
登录百度账号
扫二维码下载贴吧客户端
下载贴吧APP
看高清直播、视频!
贴吧页面意见反馈
违规贴吧举报反馈通道
贴吧违规信息处理公示