黑客一键接管你的QQ,可登陆大量腾讯业务

龙 宇 2016-7-27 最新资讯 0 0

        黑客一键接管你的QQ,可登陆大量腾讯业务
 
  腾讯邮箱网站上的crossdomain.xml 文件由于业务的繁杂导致配置的范围过大,导致容易形成CSRF漏洞,因为邮箱的所有操作均需要一个sid参数,进而组织了漏洞的利用。但正因为这样,只要我们找到页面中存在泄漏sid的链接并获取,这样就形成CSRF 漏洞。

  黑客一键接管你的QQ,可登陆大量腾讯业务

  前段时间,QQ邮箱也爆出了一个XSS,我们的研究人员捕获到这个漏洞的时候,它已经被在黑产圈内广泛用于重置iCould密码 。

  黑客一键接管你的QQ,可登陆大量腾讯业务

  通过邮箱重置iCloud密码早已已经形成了一条黑色产业链,很多不法分子从中盈利。其中最常用的手段之一就是通过XSS进入目标邮箱,然后在苹果官方申请密码重置,黑客获取到苹果发送的重置密码的邮件就可以重置密码,然后可以解锁被盗手机进行二次销售,或者锁定用户手机以此勒索用户等等非法行为。

  而QQ邮箱作为使用量最多的邮箱,其中的XSS漏洞危害会更大。像本次这种水坑式XSS更是可以用来大面积撒网攻击用户。所以补天再次提醒各位用户,除了经常更换邮箱密码之外,关闭邮箱的时候一定要点击邮箱中的“退出”按钮,这样Cookie就会失效,黑客也就没有办法进入邮箱了。

  不过还好及时收集这一漏洞并报告给腾讯,避免造成更大的损失。

  网络安全如同巨头们的阿喀琉斯之踵,虽然他们身躯庞大,但是却有着致命的弱点,这个时候,我们的英雄们,就如同夜空中最亮的星那样闪耀,废寝忘食,不断地在网络上搜寻,查找漏洞,通知厂商解决问题,他们大多隐姓埋名,不愿意被世人所知晓,只是在我们的背后,默默地保护着每一个在网络空间里涉水而行的普通用户。

原文地址:https://www.77169.com/news/HTML/20151202091010.shtm

转载请注明来自华盟网,本文标题:《黑客一键接管你的QQ,可登陆大量腾讯业务》

喜欢 (0) 发布评论