QQ空间官方账号被黑产利用漏洞分析

原文地址:https://mozhe.cn/news/detail/333

2011年,Facebook推出了默认人脸识别功能实现自动识别圈人功能,2013年,Instagram推出名称为“你的照片”的圈人功能。基本都是用户利用这个功能在照片中圈出好友,并通过标签直接找到该好友的所有照片。圈人可以让照片成为找人的最佳途径。

在2013年,QQ空间也推出了圈人功能,在他人对空间说说中,找到要圈人的照片,圈出照片中的好友,从中选择自己相对应的好友就可以。这个其实是个不错的功能,借助他人可以了解到更多信息。拿个简单的图表示下:

QQ空间官方账号被黑产利用漏洞分析_第1张图片

从2015年开始,网络就有人说这个功能被人恶意拿来打广告。并给出了具体的方法。

QQ空间官方账号被黑产利用漏洞分析_第2张图片

QQ空间官方账号被黑产利用漏洞分析_第3张图片

官方一直未修补(可能官方觉得这个是个正常功能,就是这样设计的),这个地方问题就出在了被圈出人显示的QQ昵称。这些做灰色产业游走在法律边缘的人,大脑真的是很聪明,就把这个地方做为一个商机,来打广告了。

QQ空间官方账号被黑产利用漏洞分析_第4张图片

2018年6月8日,QQ空间官方账号发布“微视”小电影广告,正文部分是正常的腾讯微视广告,推荐了微视的“红人计划”。然而问题在于,这条动态下方被恶意圈出的人名单,附带了大量名称不可描述的链接。

QQ空间官方账号被黑产利用漏洞分析_第5张图片

其实官方账号并未被盗用,只是被人恶意利用了圈人的功能了而已,把开始的图给重现一下:

QQ空间官方账号被黑产利用漏洞分析_第6张图片

当天下午,官方做出了回应,表示该问题是因黑产利用了业务逻辑漏洞所致。同时官方对此表示了歉意,并称该问题已经被修复。

QQ空间官方账号被黑产利用漏洞分析_第7张图片

说起来业务逻辑漏洞,其实是业务系统的一种设计缺陷,这种漏洞在真实的业务场景里面,多数可能用扫描器是无法发现的(除非是个超智能的人工智能扫描器),否则只能人工测试,常见的有密码找回、越权、顺序执行等问题。通过更改数据包中的ID值,来获取他人的敏感信息,如网银中的类似问题,修改数据包中的银行卡卡号,可以返回相对应银行卡的注册信息等内容。运营商的类似问题是修改数据包中的他人的手机号码,可以返回他人的手机号注册信息等内容,这些都是业务逻辑漏洞。

墨者学院靶场环境中,有2个跟业务逻辑漏洞相关的靶场环境,不妨来试试,深入了解一下漏洞的形成原理:

身份认证失效漏洞实战:https://mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe

登录密码重置漏洞分析溯源:https://mozhe.cn/bug/detail/K2sxTTVYaWNncUE1cTdyNXIyTklHdz09bW96aGUmozhe

(注:以上涉及到的日期时间,均通过公开搜索引擎获得,可能与真实时间有出入。)

你可能感兴趣的:(QQ空间官方账号被黑产利用漏洞分析)