腾讯QQ作为中国互联网即时通讯的大佬,其用户基本可以说是人人都有一个qq号,作为一个如此重要的通讯工具,其安全性也是大家关注的焦点。尽管说黑客无处不在,但是只要你上网安份一点,一般也没有什么安全问题。不过,如果是QQ本身产品有漏洞,那这个安全隐患就实在是令人担忧了。 今天我们就来了解一下这是漏洞,竟然要防盗,先了解下怎么被盗总没错的啊。 这个漏洞早在2010年我就发现,那时候只是一时兴起,通过这个漏洞窃取了同个培训班同学的QQ,当然了,只是玩的心态,没有触犯别人的任何利益。 这几年来我也一直有关注这个问题,时不时试一下。今天试了一下,令人惊讶的是这个漏洞至今还在。PS:时不时试一下的场景主要是和朋友炫耀,并没有损害别人的财产利益,也没有损害公共财产利益,不要想多了。 这个产品漏洞就是QQ申诉。在2010年的时候我突然选择性失忆地忘记了QQ密码,然后想要回密码当然是验证密保了,但是密保居然也不记得(事实上长时间不改密保的话很,很少人会记得自己捏造出来的问题和答案),那只好申诉了。我到QQ申诉平台去简单填写了一下我的名字,和常在地区,其他的都没有填。 申诉结果是令人欢喜令人忧。令人欢喜的是申诉成功了,我可以重置密码了。令人忧的是,这么容易就通过审核,这个审核到底还有什么意义?作为一个菜鸟极客的我一样拥有敏锐的触觉(稍微自恋一下,哈哈),我马上就意识到这是一个漏洞。 所谓发散性思维在这个时候就起了关键作用,我马上联想到QQ上经常出现的一个提醒“您的好友不在常在地区登录”,对,地区。腾讯审核系统就是用地区作为判断条件,细化一点来说就是IP地址,因为我常在那个培训班的局域网里上网,QQ经常在那里登录,所以QQ已经把那里的IP地址列入白名单列入QQ申诉审核条件之一。 通过QQ申诉获取修改QQ密保最低条件: 一、在常登录地区(IP地址)电脑申诉。 二、知道平时在QQ上使用的名字,和近期常在登录地区。(这里选的是城市) 好了。知道这些条件,有了理论,接下来就是测试。那时候我拿了一个同学的QQ测试。结果是成功了。截至今天(2013年9月12日),这个方法依然有效,我早上还测试了一下。下面我把测试的步骤截图发上来。有图有真相。 0 O) q3 D; d* G, R% O
|