发表时间:2014-03-24来源:网络
【PConline资讯】近日,专注曝光各厂商漏洞的乌云曝光了腾讯QQ的一个非常严重的漏洞,称腾讯QQ客户端存在一个严重安全缺陷―― 腾讯某接口未严格校验访问来源IP,导致ClientKEY访问保护被绕过,黑客只要能获得用户的ClientKEY,就能访问QQ邮箱、QQ空间、QQ相册等一切腾讯旗下的业务系统。
简单地说,就算你的QQ密码没有被盗,那么只要黑客能截获到你的ClientKEY,就能随意访问你的QQ邮箱、QQ空间和QQ相册等一系列软件。
乌云曝光 QQ新漏洞
如何防御QQ空间QQ相册邮箱等QQ业务不被远程登录?
一、只要电脑不被黑客控制,那理论上就不用担心这个问题。
二、可能你看到此文章时QQ已经修复了这个漏洞,也可能漏洞还存在……
三、暂时不要在电脑上登录QQ客户端……
QQ客户端竟然 存在漏洞……
乌云对此QQ漏洞的描述
研究过腾讯客户端安全的人都知道,ClientKEY对于QQ整体的业务系统来说,是一个全局的访问令牌,只要获取到用户的ClientKEY,就能访问所有腾讯旗下的业务系统。
腾讯单点登录系统跨域劫持漏洞
腾讯单点登录系统跨域劫持漏洞 2
曾经多个白帽子报道过腾讯单点登陆系统的漏洞,于是腾讯加了一个来源IP验证来减少客户端攻击带来的威胁。腾讯当时的想法可能是:“就算你能搞到我的KEY,不在一个内网,你也影响不到我!”。
如今,这个防御措施仅仅因为某个接口的疏忽,就被绕过了
WooYun是什么?
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
上一篇:怎么在微信上发表说说
2011-04-29
2022-03-31
2022-07-07
2022-01-27
2022-03-31
2022-03-31
2022-05-19
2022-03-31
2022-03-31
2022-05-26