• :
  • 技术揭秘“QQ空间”自动转发不良信息-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [毒霸讲堂] 技术揭秘“QQ空间”自动转发不良信息

    [复制链接]
    如果获得一个QQ号码的Skey代码,也就相应的拿到了对方QQ登陆和管理权限,通过调用相应的操作接口API,即可不通过用户密码实现对用户空间,相册的访问权限,同时也可以发表说说,删除留言等一些敏感操作。
    使用道具 举报 回复 支持 反对
    长见识了
    使用道具 举报 回复
    吓得我以后不玩空间了
    使用道具 举报 回复 支持 反对
    来看技术贴。
    使用道具 举报 回复 支持 反对
    最近通过对一个QQ空间自动转发链接进行分析,发现该自动转发机制通过利用腾讯网站存在漏洞的页面,精心构造出利用代码获取用户的QQ号和skey值,从而获得用户的一些敏感操作权限。
    使用道具 举报 回复 支持 反对
    来看看了
    使用道具 举报 回复
    只看明白了一点,就是不能随便点链接。
    使用道具 举报 回复 支持 反对
    传播现象
           如果有一天,你发现好多QQ好友空间都在发一条说说,并且这个说说附带了一个链接,像下图这样:

    此时你就要注意了,那个网页你点进去你也会一起中毒,并在你没有察觉的情况下发同样的内容在你的空间。
    使用道具 举报 回复 支持 反对
    支持!
    使用道具 举报 回复
    揭秘揭得好!
    使用道具 举报 回复 支持 反对
    又是技术贴。
    使用道具 举报 回复 支持 反对
    修复方案和建议
    1. 针对用户,不要随意点击一些不良网站信息,如果不小心中招,解决方法就是快速退出空间,如果是手机登录的话就要退出QQ,重新登陆QQ,这样会产生新的skey,原来的skey就失效了。如果只是单纯的刷新网页,或者关掉手机QQ空间,则不会改变skey。
    使用道具 举报 回复 支持 反对
    空间广告太多
    使用道具 举报 回复 支持 反对
    2. 针对漏洞厂商,要检测所有接口的输入参数,进行严格过滤,防止XSS漏洞的产生;同时要对数据请求来源进行判断,非同源数据过滤掉,从而防止CSRF攻击。
    使用道具 举报 回复 支持 反对
    看看
    使用道具 举报 回复
    技术揭秘
    使用道具 举报 回复
    最近通过对一个QQ空间自动转发链接进行分析,发现该自动转发机制通过利用腾讯网站存在漏洞的页面,精心构造出利用代码获取用户的QQ号和skey值,从而获得用户的一些敏感操作权限。并通过该漏洞自动转发一些不良信息诱导用户点击,从而导致大面积传播。
    使用道具 举报 回复 支持 反对
    这是有多久没见过毒霸官人的技术贴,感动。。。
    使用道具 举报 回复 支持 反对
    2. 针对漏洞厂商,要检测所有接口的输入参数,进行严格过滤,防止XSS漏洞的产生;同时要对数据请求来源进行判断,非同源数据过滤掉,从而防止CSRF攻击。
    使用道具 举报 回复 支持 反对
    腾讯地图的一个实时竞价页面存在一个XSS漏洞,由于没有对请求参数做严格检查,通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码,同时服务器没有对请求来源进行检测,因此可以造成CSRF攻击。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则