前幾天,獵戶座在補(bǔ)天漏洞相應(yīng)平臺(tái)參加團(tuán)隊(duì)活動(dòng),又發(fā)布了一個(gè)重量級(jí)互聯(lián)網(wǎng)產(chǎn)品——騰訊郵箱的安全漏洞。
騰訊郵箱網(wǎng)站上的crossdomain.xml 文件由于業(yè)務(wù)的繁雜導(dǎo)致配置的范圍過(guò)大,導(dǎo)致容易形成CSRF漏洞,因?yàn)猷]箱的所有操作均需要一個(gè)sid參數(shù),進(jìn)而組織了漏洞的利用。但正因?yàn)檫@樣,只要我們找到頁(yè)面中存在泄漏sid的鏈接并獲取,這樣就形成CSRF 漏洞。
前段時(shí)間,QQ郵箱也爆出了一個(gè)XSS,(詳情如下:http://bobao.#/learning/detail/2262.html)。我們的研究人員捕獲到這個(gè)漏洞的時(shí)候,它已經(jīng)被在黑產(chǎn)圈內(nèi)廣泛用于重置iCould密碼 。
通過(guò)郵箱重置iCloud密碼早已已經(jīng)形成了一條黑色產(chǎn)業(yè)鏈,很多不法分子從中盈利。其中最常用的手段之一就是通過(guò)XSS進(jìn)入目標(biāo)郵箱,然后在蘋果官方申請(qǐng)密碼重置,黑客獲取到蘋果發(fā)送的重置密碼的郵件就可以重置密碼,然后可以解鎖被盜手機(jī)進(jìn)行二次銷售,或者鎖定用戶手機(jī)以此勒索用戶等等非法行為。
而QQ郵箱作為使用量最多的郵箱,其中的XSS漏洞危害會(huì)更大。像本次這種水坑式XSS更是可以用來(lái)大面積撒網(wǎng)攻擊用戶。所以補(bǔ)天再次提醒各位用戶,除了經(jīng)常更換郵箱密碼之外,關(guān)閉郵箱的時(shí)候一定要點(diǎn)擊郵箱中的“退出”按鈕,這樣Cookie就會(huì)失效,黑客也就沒(méi)有辦法進(jìn)入郵箱了。