腾讯QQ爆大漏洞 黑客可登录QQ邮箱等业务
发布时间:2014-03-24 21:12:17作者:知识屋
【PConline资讯】近日,专注曝光各厂商漏洞的乌云曝光了腾讯QQ的一个非常严重的漏洞,称腾讯QQ客户端存在一个严重安全缺陷―― 腾讯某接口未严格校验访问来源IP,导致ClientKEY访问保护被绕过,黑客只要能获得用户的ClientKEY,就能访问QQ邮箱、QQ空间、QQ相册等一切腾讯旗下的业务系统。
简单地说,就算你的QQ密码没有被盗,那么只要黑客能截获到你的ClientKEY,就能随意访问你的QQ邮箱、QQ空间和QQ相册等一系列软件。
乌云曝光 QQ新漏洞
如何防御QQ空间QQ相册邮箱等QQ业务不被远程登录?
一、只要电脑不被黑客控制,那理论上就不用担心这个问题。
二、可能你看到此文章时QQ已经修复了这个漏洞,也可能漏洞还存在……
三、暂时不要在电脑上登录QQ客户端……
QQ客户端竟然 存在漏洞……
乌云对此QQ漏洞的描述
研究过腾讯客户端安全的人都知道,ClientKEY对于QQ整体的业务系统来说,是一个全局的访问令牌,只要获取到用户的ClientKEY,就能访问所有腾讯旗下的业务系统。
腾讯单点登录系统跨域劫持漏洞
腾讯单点登录系统跨域劫持漏洞 2
曾经多个白帽子报道过腾讯单点登陆系统的漏洞,于是腾讯加了一个来源IP验证来减少客户端攻击带来的威胁。腾讯当时的想法可能是:“就算你能搞到我的KEY,不在一个内网,你也影响不到我!”。
如今,这个防御措施仅仅因为某个接口的疏忽,就被绕过了
WooYun是什么?
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
知识阅读
软件推荐
更多 >
-
1
打飞机无敌模式!微信“打飞机”已被破解2013-08-11
-
2
QQ2012抢先体验 多标签多视频多好友聊天
-
3
无广告的QQ版本不存在了?TM2012 Beta1首测
-
4
用过才知好不好!QQ2013 Beta2的4大改变
-
5
QQ音乐1Q币领宝物活动地址 绿钻Q币等你来领(推荐)
-
6
QQ2013 Beta2正式发布 QQ数据线隔空取图
-
7
QQ空间举办“挑战答题王”争霸战 答题赢大奖
-
8
年费QQ会员 免费使用网游加速小助手 无限制使用哦
-
9
QQ2012 Beta1体验版 赶紧的 抢资格
-
10
QQ终于无广告!QQ国际版V2.0亮点逐个看
