您当前位置:首页 > 资讯中心 > 信息安全

黑客一键接管你的QQ,可登陆大量腾讯业务

前几天,猎户座在补天漏洞相应平台参加团队活动,又发布了一个重量级互联网产品——腾讯邮箱的安全漏洞。

腾讯邮箱网站上的crossdomain.xml 文件由于业务的繁杂导致配置的范围过大,导致容易形成CSRF漏洞,因为邮箱的所有操作均需要一个sid参数,进而组织了漏洞的利用。但正因为这样,只要我们找到页面中存在泄漏sid的链接并获取,这样就形成CSRF 漏洞。

 

前段时间,QQ邮箱也爆出了一个XSS,(详情如下:http://bobao.360.cn/learning/detail/2262.html)。我们的研究人员捕获到这个漏洞的时候,它已经被在黑产圈内广泛用于重置iCould密码 。

通过邮箱重置iCloud密码早已已经形成了一条黑色产业链,很多不法分子从中盈利。其中较常用的手段之一就是通过XSS进入目标邮箱,然后在苹果官方申请密码重置,黑客获取到苹果发送的重置密码的邮件就可以重置密码,然后可以解锁被盗手机进行二次销售,或者锁定用户手机以此勒索用户等等非法行为。

而QQ邮箱作为使用量较多的邮箱,其中的XSS漏洞危害会更大。像本次这种水坑式XSS更是可以用来大面积撒网攻击用户。所以补天再次提醒各位用户,除了经常更换邮箱密码之外,关闭邮箱的时候一定要点击邮箱中的“退出”按钮,这样Cookie就会失效,黑客也就没有办法进入邮箱了。

   来源:360安全播报
作者:grabsun - 发布时间:2015-12-22 - 点击量:3024
上一篇:美国科技公司拒绝因反恐而降低手机加密强度 下一篇:亚信安全联手地方政府,打造信息安全服务新模式
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们