独家爆料QQ班级群共享中的盗号秘密
网络安全
爆料类别:电脑报首发漏洞
爆料内容:QQ班级群共享漏洞
爆料人:CJ也疯狂
漏洞原因: QQ班级群的共享模式变成网页后,没有对一些安全字符进行过滤,特别是一些比较敏感的字符,这样黑客就可以在QQ班级群共享中远程挂马,一旦群用户进入共享,就会立即激活木马,各种账号和密码就可能被盗。
最近,我在QQ班级群玩时,发现QQ群的共享模式变了,以前都是“正在刷新列表,请稍候”,现在变成了“页面加载中”(图1)。难道可以在里面解析一些网页代码?带着疑问进入共享页面后,发现还需要安装上传控件才能上传文件(图2)。
安装好控件后,我就可以上传东西了。在上传文件的标题处,输入了代码〈iframe src=http://qq.com〉〈/iframe〉(图3),点击“确定”按钮,成功上传附件。这时,我输入的恶意代码被解析了,腾讯的LOGO出现在共享页面中了(图4),说明网页已经完全被打开了,如果我这里调用的是网页木马的地址,用户一进入共享页面就会中招,后果……。不愧是页面啊,哈哈!兴奋啊!
后来,我发现在文件描述里也可以挂马,不过这种方法有个缺点,只有用鼠标点击附件,才能激活挂马网页。
小提示:在QQ群里面挂的网页木马,是可以隐藏的,例如输入〈iframe src=http://www.qq.com width=0 height=0〉〈/iframe〉,把宽高都设置为0,这样就可以隐藏了,访问者也不容易发现问题。
到截稿时,我们已经通知腾讯修复了漏洞。