共计 1025 个字符,预计需要花费 3 分钟才能阅读完成。
今天无意中在Google搜索自己的邮箱地址,发现一个属于QQ的url(点击这里),点进去一看,是QQ手机邮箱,更为神奇的是,还处于登陆状态。特别留意看了下地址,有两个重要的参数,一个是sid=645174009,我估计这是一个QQ号码,后面跟的4f5f9884532e678dMTIzMjg1NDMxMQ也许是经过二次加密后的密码字串。
用Google搜索我的邮箱找到的页面
进入到具体的漏洞页面首页
这勾起了我的兴趣,进一步探测。进入的第一个页面是“联系人”,显示的与QQ号码为645174009有过邮件往来的人的Email地址,单击可以看到具体的资料,还可以给他发送邮件。
点击上面的“首页”,进入到一个简易版的QQ邮箱界面,显示了等级、积分、未读邮件及待办事项等信息。下面还有:写邮件、写群邮件、联系人、收件箱、群邮件、全部文件夹、中转站、贺卡、设置等链接。最下面则是腾讯网的版权标识。
撰写邮件页面
需要再次强调的是,这是一个处于登陆状态的邮箱,可以以“645174009”的名义给任何人发送邮件,利用社会工程学的基本原理,甚至能冒充645174009给他的好友发送欺诈性的电子邮件。为了进一步证实上述想法。我试着点击“写邮件”,进入到撰写状态,收件人、主题和正文都是能随意写入内容的,还能添加附件。点击发送,几秒钟后,我的另外一个邮箱收到测试邮件了。
我的邮箱收到测试邮件了
不知道这是QQ邮箱存在的普遍性问题还是个别漏洞,我想的是,QQ真的需要多注重产品的安全性,如果用户因为QQ的漏洞而被人欺骗,恐怕QQ难辞其咎。我想说下为什么搜索我的邮箱地址会找到这个漏洞页面。因为几个星期前,我的一位朋友就知道这个漏洞,并试着往我的邮箱发了一封信。当时他没告诉我此漏洞具体情况,想不到今天却被我无意中搜索到了,间隔也有这么久了,为什么腾讯还没发现这个漏洞?2008年12月26日12:15:49更新:QQ手机邮箱的负责人和我进行了沟通,我已经明白了大概。由于很多老式手机不支持Cookies,所以如果用Cookies作手机登陆是有问题的。用时间来作为过期的判断,QQ又设置得过长。在时间失效前,有人把“漏洞”URL发到了网上,被Google的蜘蛛爬到,这就是我找到那个地址的原因。综上所述,QQ手机邮箱还是比较安全的,容易被利用的地方,他们已经作了修改,另外,如果使用者自己不把曾经登陆过的URL(里面包含QQ号码及加密验证字串)发出来,就不可能有人知道并利用的。
url登录不了的,有过期时间限制的。
漏洞已经被修复了 截止到我发这篇日志前都是可以正常利用的,有几位朋友也测试了下,我的截图也可以证明。
好几个礼拜前这个漏洞就爆出来了。
哇!太危险了!!!
这也能发现,佩服!