版权:原文来自乌云知乎专栏,童斐(gainover)同学供稿~
0x00 起始
昨日凌晨,看到爱尖刀团队发布了一条“腾讯客户端XSS,已第一时间提交至TSRC”的微博,心想,腾讯又出此类漏洞了。今日,由于有一位名叫“阿布”的同学将该漏洞发布到了乌云,引来不少争吵甚至骂战。只想说,各位需冷静,争吵无意义!
其实,在QQ身上,这样危险的漏洞已经发生过不少,或许我们早已成为受害者,但是却毫不知情。与其争吵,我们还不如一起来掰一掰,乌云上那些类似的案例!当然,也许还有不少类似危险的漏洞在此间被安全研究人员直接报给了TSRC,我们也无法得知它们的数量、危害范围及对用户的实际影响了。
0x01 前置知识普及篇
在此,我们就不去普及“什么是cookies”了,大家只需要知道cookies是个很重要的东西,当它被黑客窃取后,就可以以你的身份来登录你的一些应用,譬如:邮箱、相册、微博等,进而查看你的邮件,或者是查看你的相片。Cookies被盗会发生什么,具体可见:蛋糕背后的大灰狼 - 你是互联网上的那只小白兔吗? - PKAV 技术宅 - 知乎专栏(http://zhuanlan.zhihu.com/pkavsec/19587770),或是这篇,跨站脚本-可以让战场离得更远(浅谈腾讯架构缺陷)(http://www.wooyun.org/bugs/wooyun-2010-011192)。
0x02 哪些地方曾经出现过问题呢?
场景1:QQ消息篇之临时会话
有没有想过这样一件恐怖的事情,有一天,你突然看到一个陌生人的QQ消息,接着你肆无忌惮地点开了,随后你的cookies就被黑客偷去了?这样的事情确实出现过! 笔者自从看到这个漏洞,现在都不敢看陌生人的QQ消息了!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-036425(微博上正在疯传的那个QQ客户端聊天就中的XSS(可登陆和控制他人账号))
场景2:QQ消息篇之生日礼物
是不是快过生日了?收到过QQ上的礼物卡片么?就是QQ消息突然在闪动下面这个图标的时候,你是不是很高兴的就点开了?
但是,你有没有想过,这个时候,你的cookies就被黑客偷取了?这样的事情确实出现过!笔者自从发现这个漏洞后,每次收到他人礼物的时候,都打开抓包软件,看看自己的cookies有没有被发送出去!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-07684 (QQ空间礼物功能XSS可以攻击任意指定QQ号码用户)
场景3: QQ消息篇之听一首歌
不知道有多少人用过QQ的点歌功能或是听过别人在QQ上给你点的歌,有没有想过,当你点击【播放】的那一瞬间,你的clientkey(此处偷的是clientkey,比cookies得到的权限更大)就被黑客偷去了?这样的事情确实出现过!笔者自从知道这个漏洞后,都改用手机放歌了:“葫芦娃,葫芦娃,一根藤上七个瓜…”。
被窃取的clientkey:
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-054204 (腾讯QQ某控件设计缺陷导致可远程登录任意QQ账号(已证明QQ空间、相册、微博、邮箱可登陆))
附加说明:此漏洞中所述利用方式,是利用IE来加载tencent://协议,实际上是可以直接在QQ聊天窗口通过点歌的方式来进行利用的,此外当时QQ客户端上的微博播放音乐也在此漏洞利用之列。
场景4: QQ消息篇之搜索一下
分享SOSO搜索结果的这个功能用的人不太多,但是该漏洞细节还是十分有意思的,有没有想过,点击聊天窗口里的一个链接,cookies就会被偷偷以QQ消息的形式发送给黑客?这样的事情确实出现过!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-025203 (腾讯QQ聊天框XSS)
附加说明:漏洞详情中并未给出窃取cookies的演示,实际上该漏洞可以调用external中扩展的API,实现发送QQ消息的功能,因此可以将受害者的cookies以QQ消息的方式发回给黑客,比较有意思。
场景5: QQ消息之群视频篇
相信今天早上,也许已经有不少人被这个漏洞给弹到了。为了统一文字格式,我还是要说:有没有想过,有一天你打开一个QQ群,你的cookies就被黑客偷取了?这样的事情确实出现过!笔者今早也被alert了,瞬间感觉人不好了!
漏洞连接:
http://www.ijiandao.com/safe/cto/6203.html (网络尖刀安全团队研究发现QQ客户端存储XSS,可劫持用户!)
http://www.wooyun.org/bugs/wooyun-2014-064446 (腾讯QQ群持久xss攻击(可执行js窃取cookie挂马等可能已经有人利用))
附加说明:两个链接为同一漏洞,前者先向TSRC报告,后漏洞流出,被发至乌云平台。
场景6: QQ右下角弹窗篇之消息轰炸
如果有一天,你的QQ一直弹出下来这样的消息,会不会有一丝丝蛋疼(女性除外)。
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2014-051860 (腾讯QQ某处右下角信息提示无限弹窗)
http://www.wooyun.org/bugs/wooyun-2013-044483 (利用QQ某活动给任意QQ弹右下角小窗口)
附加说明:这些实际上,都还不够成“安全漏洞”。
场景7: QQ右下角弹窗篇之伪造弹窗
上面这个并不会影响到你的“人身安全”,但是这一个就不一样了。有没有想过,当你点开一条系统推送的消息时,消息内容是假的,连点开的链接都是假的?点开弹窗的消息后,cookies就被黑客偷取了!这样的事情确实出现过! 自从笔者和团队成员发现这个漏洞后,都不敢点开这个东东了!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-010800 (当 |XSS蠕虫| 与 |QQ系统消息推送| 双剑合璧之后 …)
场景8: QQ右下角弹窗篇之索要服务
QQ某些自带的服务,也是会发送一个右下角弹窗的,比如找好友索要QQ会员服务。有没有想过,有一天你点开了好友的索要请求,就自动帮对方支付了3个月的QQ会员?当然,你的cookies也会被对方窃取过去。这样的事情确实出现过!自从笔者看到这个漏洞后,慎点,慎点!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-013916 (腾讯向好友索要功能xss+疑似SQL注射)
场景9:QQ右下角弹窗篇之其它服务
由于类似于以上的弹窗业务场景,还有比较多,这里我就不一一列举了,例如:QQ邮箱收到新邮件,你的日志有新的评论。这些都会有如上类似的风险。
漏洞搜索结果:
http://www.wooyun.org/searchbug.php?q=QQ邮箱+XSS
http://www.wooyun.org/searchbug.php?q=QQ空间+XSS
场景10:QQ其它功能篇之手机生活
嗯,没事别点别人QQ资料,特别对方是一个脚本小子的时候!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2010-013563 (PKAV腾讯专场 - 3. 腾讯QQ客户端某处功能页面存储型XSS)
场景11:QQ其它功能篇之好友照片
恩,没事不要偷看好友更新的照片哦,特别是你好友里有黑客的时候!
漏洞连接:
http://www.wooyun.org/bugs/wooyun-2013-039457 (QQ客户端某功能存储型xss)
http://www.wooyun.org/bugs/wooyun-2013-039464 (QQ空间存储xss漏洞一枚可打到cookie)
附加说明:以上漏洞为同一漏洞,两人先后报告
场景12: QQ其它功能篇之聊天记录
嗯,没事不要翻聊天记录,翻着翻着,你的cookies就被偷去了!
漏洞连接:
http://wooyun.org/bugs/wooyun-2010-024705 (腾讯QQ漫游记录存储型XSS漏洞)
0x03 如何防?
恩,感觉有些漏洞防不胜防。 虽然笔者自己也找过不少类似漏洞,平时也很注意防范此类问题,但是今天早上依然被弹了。所以,一方面是厂商修复、改进;另外一方面,需要我们自己尽量去避免此类攻击。怎么避免呢?想了想,对于普通用户来说,三个字,“少乱点”!
PS:特别说明的是,以上提到的漏洞都在提交后迅速修复,目前不在有效,仅用做案例分析与产品安全学习之用途。
-----------------------------------------
乌云君的:
微博 http://weibo.com/wooyun2
微信 wooyun_org
知乎专栏 http://zhuanlan.zhihu.com/wooyun
联系邮箱 [email protected]
本文始发于微信公众号(乌云漏洞报告平台):闲谈:乌云上那些基于Web的QQ漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论