|
|
很久木有打開過QQ的安全功能了���,剛才無意中隨便點了幾下,居然發(fā)現(xiàn)QQ2012正式版可能存在泄漏賬戶登錄密鑰(skey)的風險,漏洞不知算上算不上�����,但是這個“點”一旦被惡意利用���,就會給自己的QQ帳號安全帶來很大的隱患!
一:操作詳細步驟:
1�����、通過QQ主面板下方的安全圖標(圈子和查找的左邊)打開騰訊QQ的安全溝通界面�����,在進入“安全軟件”選項;
2�、然后就會看到“立即下載”的鏈接(菲菲博客使用的是最新的QQ2012正式版5058),點擊下載后���,看到有什么發(fā)現(xiàn)有木有?沒錯�����,你的QQ帳號識別密鑰skey碼竟然出現(xiàn)在了瀏覽器的地址欄上了���,同時出現(xiàn)下載文件的提示�。
qaqfh.jpg (16.34 KB, 下載次數(shù): 721)
下載附件
qaqfh.jpg
2014-7-21 13:38 上傳
qctkey.jpg (15.2 KB, 下載次數(shù): 659)
下載附件
qctkey.jpg
2014-7-21 13:38 上傳
3�、果斷輸入到QQ skey利用工具上,一測試果然沒問題直接無視密碼直接突破進入�。。
二:漏洞總結(jié)和修復:
一個提供下載安全防護板QQ的鏈接�,沒有必要用到skey驗證,更不能直接顯示在URL上���,如果實在需要驗證QQ帳號的合法性�����,建議使用和其他自動登錄方式一致的更安全的clientkey碼來驗證(這個實現(xiàn)起來可能會有難度�����,相信QQ的工程師也評估過)�����。
簡單看了一下�����,整個QQ安全功能的網(wǎng)頁框架內(nèi)都是直接調(diào)用skey來實現(xiàn)同步?,?,??y?.網(wǎng)頁登錄的�����。最后初步判定QQ客戶端中內(nèi)嵌的網(wǎng)頁框架的外部超鏈接都是通過帶上skey核心參數(shù)�,再GET到QQ登錄服務器(ptlogin2.qq.com)來實現(xiàn)同步登錄功能的,只是一般網(wǎng)頁的URL跳轉(zhuǎn)很快�,不容易發(fā)現(xiàn)而已。但是在上面的操作步驟中的“下載”鏈接顯然是暴露了用戶的機密驗證信息�����。
鑒于以上分析�,雖然此處暴露點并不會直接對QQ用戶的帳號造成嚴重威脅�����,但是菲菲還是建議大家多長個心眼(小心內(nèi)鬼�,你懂得)�����,掛著QQ離開電腦前可以將QQ鎖定掉即可����������!痉品撇┛汀ぴ瓌(chuàng)文章���,轉(zhuǎn)載請注明出處!】
遠程控制軟件,灰鴿子下載 |
|
加載中...
發(fā)表于 2014-7-21 13:38:55
QQ好友和群
收藏
發(fā)表于 2014-7-26 13:40:46