前几天,猎户座在补天漏洞相应平台参加团队活动,又发布了一个重量级互联网产品——腾讯邮箱的安全漏洞。
腾讯邮箱网站上的crossdomain.xml 文件由于业务的繁杂导致配置的范围过大,导致容易形成CSRF漏洞,因为邮箱的所有操作均需要一个sid参数,进而组织了漏洞的利用。但正因为这样,只要我们找到页面中存在泄漏sid的链接并获取,这样就形成CSRF 漏洞。
前段时间,QQ邮箱也爆出了一个XSS,(详情如下:http://bobao.360.cn/learning/detail/2262.html)。我们的研究人员捕获到这个漏洞的时候,它已经被在黑产圈内广泛用于重置iCould密码 。
通过邮箱重置iCloud密码早已已经形成了一条黑色产业链,很多不法分子从中盈利。其中较常用的手段之一就是通过XSS进入目标邮箱,然后在苹果官方申请密码重置,黑客获取到苹果发送的重置密码的邮件就可以重置密码,然后可以解锁被盗手机进行二次销售,或者锁定用户手机以此勒索用户等等非法行为。
而QQ邮箱作为使用量较多的邮箱,其中的XSS漏洞危害会更大。像本次这种水坑式XSS更是可以用来大面积撒网攻击用户。所以补天再次提醒各位用户,除了经常更换邮箱密码之外,关闭邮箱的时候一定要点击邮箱中的“退出”按钮,这样Cookie就会失效,黑客也就没有办法进入邮箱了。 
