您现在的位置: 华盟网 >> 资讯 >> 最新新闻 >> 正文

[组图]微信“红包照片”体验过程及下线原因

2016/1/27 作者:路人甲 来源: 301在路上
导读 微信“红包照片”体验过程及下线原因 --微信并没有对图片进行打码或者加密

  

  今天是个比较特殊的日子,腾讯旗下的微信产品做了较大更新,针对微信朋友圈增加了一项神奇的功能(微信红包照片),用户可以用图片表达心思,所以多了一种方式——“红包照片”(仅在今日限时公测,今天发表的红包照片将在下午18点左右被下线。此功能除夕夜将再次开放)

  第一、微信用户在朋友圈发一张珍藏照片。

  第二、用户朋友圈的好友在朋友圈看到的是一张模糊的照片,点开图片,系统会随机使某一小个部位变清晰,朋友向你发个小额红包(2至10元)送祝福后,即可查看清晰完整照片。

  第三、用户看到清晰照片后,便可进行点赞和评论。

  

  但是由于某些原因,临时下线了,而下线的原因是什么呢?我们来看看有关乌云社区白帽子的报(gou)告(gao)。

  编者按:本文来自乌云社区某白帽投稿。

  事情经过:

  晚上五点出头,办公室的同事惊奇发现,微信朋友圈居然换成了土豪金主题,各种金色名字、按钮不说,还刷出来许多雾蒙蒙的图片。

  点开一看,居然要给红包才能看,原来微信正开始预热晚上的推广活动。

  (前边都是废话,大家应该都看到了,现在进入正题部分)

  作为一枚白帽子,看到这个第一眼当然想的是怎么不发红包就看。

  工具一开,抓包一看,哎哟……看到了

  

  (兴奋着忘记截图,此处引用某友抓包成果)

  怎么回事呢?其实微信并没有对图片进行打码或者加密,只是在朋友圈显示的时候加了一层动态滤镜。你在微信里看到“雾蒙蒙”是滤镜效果。

  如果绕过微信,直接通过图片地址查看,那么就能看到没加滤镜的原始图片了。

  当然,这还需要你找出图片地址。

  (教程:作为一个负责任的漏洞报告平台,细节已被编辑马赛克,大家可等待乌云漏洞公开)

  这里微信犯了个低级错误,点开图片时其实图片已经下载到本地,无论网络抓包找出原始链接或者本地查找图片缓存文件,都可以看到图片。如果换成给红包后才下载,那么问题就不存在了。

  当然,给红包看照片只是个娱乐大家的活动,首先要考虑可玩性和用户体验。而先下载才能保证游戏好玩(动态滤镜每次能给出不同部位的细节),以及后续的查看体验。这样也无可厚非,没必要要求太严苛。

  腾讯也在@路人甲 报告的“微信朋友圈绕过红包限制直接查看照片”漏洞中做出确认和回复:

  非常感谢您的报告,此报告属于已知问题,今天的微信朋友圈红包也只是预热,后续我们将尽快修复此问题。同时我们欢迎大家反馈有关红包业务的安全漏洞,感谢大家对腾讯业务安全的关注。

  好嘞,安全课到此结束。大家该玩的还是去玩吧。

  本次涉及的安全问题从问题提交到腾讯方面的确认及修复工作,我们还是看到了腾讯在对安全问题/事件的响应能力上是值得肯定的,这点也是值得安全从业者和相关企业值得学习的。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇资讯:

  • 下一篇资讯:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴