互联网中充斥着无数个链接,我们每天上网所做的事情,就是点开一个链接,跳转到另外一个链接。可你知道你点开的这些链接在背后里都做了些什么见不得人的事情么?

国内的大多数网民,都习惯了腾讯为他们做好的大局域网,用QQ聊天、用QQ邮箱收发邮件、上QQ空间写日记、到QQ朋友网去找同学。但对于QQ这样的企业,业务线做的这么长,能保证每个子站点都是安全的么?

QQ的核心业务系统都有这样一段代码:

document.domain='qq.com'

这段代码的意思是指 qq.com 下的任何一个子域 ( *.qq.com ) 都有权限操作和获取其它域下的数据。而真正的悲剧是 qq.com 有成千上万的子域,有已经没人维护的业务,有第三方合作站……

这其中的任何一个页面如果存在 XSS/信息泄漏漏洞都有权限干下面这些事:

  1. 得到你的聊天记录

  2. 获取你的好友列表

  3. 劫持你的微博,伪造你的身份登录

  4. 查看QQ空间隐秘相册(很多艳照就这么出来的)

  5. ……真的还有很多 - -

我们团队曾一天找了上百个这样的漏洞。乌云漏洞报告平台上也有上百条公开记录。

为了证明我不是在瞎扯,花了5分钟Google出来个漏洞。然后写了个简单的漏洞利用演示,用户在点击某个链接后会自动把自己的QQ签名修改成:

爱知乎,爱PKAV!

我把这个漏洞发在了知乎上,以下是部分小白鼠点击后的回复:

这个demo只是一个简单的修改签名,如果是真正的攻击,对方会通过一个XSS得到你的cookie,对你的所有内容进行长期监控。

据我所知,某个猥琐男就经常这样去偷窥一些妹子的相册。只要发送一个链接给妹子,妹子鼠标轻点,他就轻松的得到了妹子的一切资料。

有一次猥琐男得到cookie之后,使用cookie登陆了妹子的QQ邮箱,在邮箱中看到一封美团网的注册邮件,然后使用密码找回功能成功修改了妹子的美团密码。

在美团的注册信息中得到了妹子的手机号,但手机号的中间4位被隐藏了,号码为133****3333。

在之前的QQ资料中得知妹子是四川成都人,于是去搜索成都133的号码段都有哪些,得到了300多个号码段。号码段指的就是手机号的中间4位,也就是说我们的范围缩小到了300个。然后在美团的注册页面,输入一个已经注册过美团的手机号,会自动提示该号码已经绑定帐号。

也就是说这个地方可以判断号码是否被注册,我只要找到这300个号码中哪些注册了美团,就可以把范围缩到更小。

抓包写个脚本,把300个号码拖进去,不到1分钟,只跑到了1个号码注册了美团,那就是这个号码无误了!

妹子的手机号得到后,又通过id.qq.com这个网站得到了妹子的好友列表,分组等相关信息,发现这个猥琐男竟然在妹子的备胎分组中。

通过这些信息,猥琐男是否能够逆袭成功呢?

本文作者:PKAV

PKAV是国内知名Web安全团队,目前正在Web安全培训工作。

LiGa 六 29, 2013 下午 10:19

道哥,今天网站上的图都看不了啊。肿么了?

Reply王望奎博客 六 29, 2013 下午 11:47

道哥,图片挂了,没有看到。

Reply zzxadi 六 30, 2013 上午 10:37

抓包看了下,直接请求时可以显示的,微信也可以,估计做了请求来源限制。

三张图片:

1.http://mmsns.qpic.cn/mmsns/Jlcg2zUj3Ej76Myljuyc4oqVmDjXJQxCFtaDSngSPYr98icaPwa6UOw/0

2.http://mmsns.qpic.cn/mmsns/Jlcg2zUj3Ej76Myljuyc4oqVmDjXJQxCzZYvkDATP9Ufaqut6YvQnw/0

3.http://mmsns.qpic.cn/mmsns/Jlcg2zUj3Ej76Myljuyc4oqVmDjXJQxCQ7Xmia6puL2FRtJLCHZCNXA/

Reply axis 六 30, 2013 下午 8:27

原来如此!过两天我有空了把这些图片传上来。

Reply刷屏小王子 七 1, 2013 上午 8:38

猥琐男这个例子说的很不错

道哥,你就是应该多讲些安全方面的问题

也可以多出几本白帽子类似的书,内容可再深入点,国内的码农对安全应都挺感兴趣滴

Reply monkey 七 1, 2013 下午 6:39

道哥 , 知乎的连接求爆一下

Reply HazBlack 七 4, 2013 下午 9:36

突然在想,有没有可能在使新式的恶意插件可以阻断杀毒软件的更新,每次程序更新时候给程序没有可用更新的指令?