|
|
很久木有打開(kāi)過(guò)QQ的安全功能了,剛才無(wú)意中隨便點(diǎn)了幾下�,居然發(fā)現(xiàn)QQ2012正式版可能存在泄漏賬戶登錄密鑰(skey)的風(fēng)險(xiǎn),漏洞不知算上算不上��,但是這個(gè)“點(diǎn)”一旦被惡意利用���,就會(huì)給自己的QQ帳號(hào)安全帶來(lái)很大的隱患��!
一:操作詳細(xì)步驟:
1���、通過(guò)QQ主面板下方的安全圖標(biāo)(圈子和查找的左邊)打開(kāi)騰訊QQ的安全溝通界面,在進(jìn)入“安全軟件”選項(xiàng)���;
2����、然后就會(huì)看到“立即下載”的鏈接(菲菲博客使用的是最新的QQ2012正式版5058)����,點(diǎn)擊下載后,看到有什么發(fā)現(xiàn)有木有�����?沒(méi)錯(cuò)�����,你的QQ帳號(hào)識(shí)別密鑰skey碼竟然出現(xiàn)在了瀏覽器的地址欄上了���,同時(shí)出現(xiàn)下載文件的提示��。
qaqfh.jpg (16.34 KB, 下載次數(shù): 721)
下載附件
qaqfh.jpg
2014-7-21 13:38 上傳
qctkey.jpg (15.2 KB, 下載次數(shù): 658)
下載附件
qctkey.jpg
2014-7-21 13:38 上傳
3�、果斷輸入到QQ skey利用工具上,一測(cè)試果然沒(méi)問(wèn)題直接無(wú)視密碼直接突破進(jìn)入�����。���。
二:漏洞總結(jié)和修復(fù):
一個(gè)提供下載安全防護(hù)板QQ的鏈接,沒(méi)有必要用到skey驗(yàn)證�,更不能直接顯示在URL上,如果實(shí)在需要驗(yàn)證QQ帳號(hào)的合法性����,建議使用和其他自動(dòng)登錄方式一致的更安全的clientkey碼來(lái)驗(yàn)證(這個(gè)實(shí)現(xiàn)起來(lái)可能會(huì)有難度,相信QQ的工程師也評(píng)估過(guò))�。
簡(jiǎn)單看了一下,整個(gè)QQ安全功能的網(wǎng)頁(yè)框架內(nèi)都是直接調(diào)用skey來(lái)實(shí)現(xiàn)同步?,?,??y?.網(wǎng)頁(yè)登錄的�����。最后初步判定QQ客戶端中內(nèi)嵌的網(wǎng)頁(yè)框架的外部超鏈接都是通過(guò)帶上skey核心參數(shù)��,再GET到QQ登錄服務(wù)器(ptlogin2.qq.com)來(lái)實(shí)現(xiàn)同步登錄功能的,只是一般網(wǎng)頁(yè)的URL跳轉(zhuǎn)很快����,不容易發(fā)現(xiàn)而已。但是在上面的操作步驟中的“下載”鏈接顯然是暴露了用戶的機(jī)密驗(yàn)證信息����。
鑒于以上分析,雖然此處暴露點(diǎn)并不會(huì)直接對(duì)QQ用戶的帳號(hào)造成嚴(yán)重威脅����,但是菲菲還是建議大家多長(zhǎng)個(gè)心眼(小心內(nèi)鬼,你懂得)�����,掛著QQ離開(kāi)電腦前可以將QQ鎖定掉即可������!痉品撇┛汀ぴ瓌(chuàng)文章,轉(zhuǎn)載請(qǐng)注明出處�����!】
遠(yuǎn)程控制軟件,灰鴿子下載 |
|
加載中...
發(fā)表于 2014-7-21 13:38:55
收藏
發(fā)表于 2014-7-26 13:40:46