QQ辅助好友申述被滥用可导致指定用户QQ被盗

2012-4-30 21:02:41 来源:网络转载 浏览:337
QQ最新漏洞公开:QQ辅助好友申述被滥用可导致指定用户QQ被盗。

简要描述:

QQ辅助好友申述被滥用可导致指定用户QQ被盗,黑客甚至无需知道该用户的密码。相关的详细信息在:http://www.91ri.org/2939.html

要注意的是,好友申述中需要利用的“好友”不一定需要通过好友克隆进行,还有其它途径获取。

详细说明:

方法一(即链接中描述的方法):
 (1)黑客用帐号A加受害者QQ号,受害者通过了;
 (2)黑客通过克隆帐号A,到几个小号(B/C/D/E..),这几个小号因为克隆的关系会向受害者QQ发送为好友的请求,好友通过;
 (3)黑客此时去申述受害者QQ号,证据为这几个QQ(A/B/C/D/E...)都是受害者QQ号的好友,此时得到申述回执。
 (4)黑客轮番使用这几个QQ(A/B/C/D/E...)打开辅助好友申述页,填写申述回执和相关信息,并提交
 (5)过几个小时后,申述成功。
 
此方法适合批量。
 
方法二:
 (1)黑客通过社工,将受害者QQ号的好友列表获取出来。最简单的方法是引诱受害者QQ号码批量转发嵌套了N多层的邮件,这些邮件转发后天然含有该QQ号的好友列表。
 (2)黑客利用这些好友列表,获取能够临时会话的受害者QQ的好友用户,开始进行初步社工。
 (3)黑客此时去申述受害者QQ号,证据中加入以上正在社工的好友,此时得到申述回执。
 (4)黑客继续社工,引诱受害者QQ的好友自愿填写申述回执和相关信息,并提交
 (5)过几个小时后,申述成功。
 
此方法不适合批量,但更难防御,因为你可以拒绝他人加你为好友,但难以拒绝他人社工你好友。

漏洞证明:

QQ好友申述可导致QQ被盗

修复方案:
我也想知道...

(0)
(0)