由于众所周知的原因,本博客会存在打不开的情况,可换个时间再访问。

QQ邮箱手机版有漏洞

生活随笔 陈大猫 245℃ 0评论

今天无意中在Google搜索自己的邮箱地址,发现一个属于QQ的url(点击这里),点进去一看,是QQ手机邮箱,更为神奇的是,还处于登陆状态。特别留意看了下地址,有两个重要的参数,一个是sid=645174009,我估计这是一个QQ号码,后面跟的4f5f9884532e678dMTIzMjg1NDMxMQ也许是经过二次加密后的密码字串。QQ邮箱手机版有漏洞

用Google搜索我的邮箱找到的页面

QQ邮箱手机版有漏洞

进入到具体的漏洞页面首页

这勾起了我的兴趣,进一步探测。进入的第一个页面是“联系人”,显示的与QQ号码为645174009有过邮件往来的人的Email地址,单击可以看到具体的资料,还可以给他发送邮件。

点击上面的“首页”,进入到一个简易版的QQ邮箱界面,显示了等级、积分、未读邮件及待办事项等信息。下面还有:写邮件、写群邮件、联系人、收件箱、群邮件、全部文件夹、中转站、贺卡、设置等链接。最下面则是腾讯网的版权标识。

QQ邮箱手机版有漏洞

撰写邮件页面

需要再次强调的是,这是一个处于登陆状态的邮箱,可以以“645174009”的名义给任何人发送邮件,利用社会工程学的基本原理,甚至能冒充645174009给他的好友发送欺诈性的电子邮件。为了进一步证实上述想法。我试着点击“写邮件”,进入到撰写状态,收件人、主题和正文都是能随意写入内容的,还能添加附件。点击发送,几秒钟后,我的另外一个邮箱收到测试邮件了。

QQ邮箱手机版有漏洞

我的邮箱收到测试邮件了

不知道这是QQ邮箱存在的普遍性问题还是个别漏洞,我想的是,QQ真的需要多注重产品的安全性,如果用户因为QQ的漏洞而被人欺骗,恐怕QQ难辞其咎。

我想说下为什么搜索我的邮箱地址会找到这个漏洞页面。因为几个星期前,我的一位朋友就知道这个漏洞,并试着往我的邮箱发了一封信。当时他没告诉我此漏洞具体情况,想不到今天却被我无意中搜索到了,间隔也有这么久了,为什么腾讯还没发现这个漏洞?2008年12月26日12:15:49更新:QQ手机邮箱的负责人和我进行了沟通,我已经明白了大概。由于很多老式手机不支持Cookies,所以如果用Cookies作手机登陆是有问题的。用时间来作为过期的判断,QQ又设置得过长。在时间失效前,有人把“漏洞”URL发到了网上,被Google的蜘蛛爬到,这就是我找到那个地址的原因。综上所述,QQ手机邮箱还是比较安全的,容易被利用的地方,他们已经作了修改,另外,如果使用者自己不把曾经登陆过的URL(里面包含QQ号码及加密验证字串)发出来,就不可能有人知道并利用的。

转载请注明:伪医生律师的博客 » QQ邮箱手机版有漏洞

喜欢 (0)
发表我的评论
取消评论

请点击激活左边的按钮后再提交评论

表情

请单击上面的框后再提交。

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (3)

  1. url登录不了的,有过期时间限制的。
    imxiaohan2008-12-26 11:49 回复
    • 漏洞已经被修复了 截止到我发这篇日志前都是可以正常利用的,有几位朋友也测试了下,我的截图也可以证明。 好几个礼拜前这个漏洞就爆出来了。
      陈 华2008-12-26 12:12 回复
  2. 哇!太危险了!!! 这也能发现,佩服!
    NetPuter2008-12-26 12:44 回复