QQ空间官方账号被黑产利用漏洞分析

原文地址：https://mozhe.cn/news/detail/333

2011年，Facebook推出了默认人脸识别功能实现自动识别圈人功能，2013年，Instagram推出名称为“你的照片”的圈人功能。基本都是用户利用这个功能在照片中圈出好友，并通过标签直接找到该好友的所有照片。圈人可以让照片成为找人的最佳途径。

在2013年，QQ空间也推出了圈人功能，在他人对空间说说中，找到要圈人的照片，圈出照片中的好友，从中选择自己相对应的好友就可以。这个其实是个不错的功能，借助他人可以了解到更多信息。拿个简单的图表示下：

从2015年开始，网络就有人说这个功能被人恶意拿来打广告。并给出了具体的方法。

官方一直未修补（可能官方觉得这个是个正常功能，就是这样设计的），这个地方问题就出在了被圈出人显示的QQ昵称。这些做灰色产业游走在法律边缘的人，大脑真的是很聪明，就把这个地方做为一个商机，来打广告了。

2018年6月8日，QQ空间官方账号发布“微视”小电影广告，正文部分是正常的腾讯微视广告，推荐了微视的“红人计划”。然而问题在于，这条动态下方被恶意圈出的人名单，附带了大量名称不可描述的链接。

其实官方账号并未被盗用，只是被人恶意利用了圈人的功能了而已，把开始的图给重现一下：

当天下午，官方做出了回应，表示该问题是因黑产利用了业务逻辑漏洞所致。同时官方对此表示了歉意，并称该问题已经被修复。

说起来业务逻辑漏洞，其实是业务系统的一种设计缺陷，这种漏洞在真实的业务场景里面，多数可能用扫描器是无法发现的（除非是个超智能的人工智能扫描器），否则只能人工测试，常见的有密码找回、越权、顺序执行等问题。通过更改数据包中的ID值，来获取他人的敏感信息，如网银中的类似问题，修改数据包中的银行卡卡号，可以返回相对应银行卡的注册信息等内容。运营商的类似问题是修改数据包中的他人的手机号码，可以返回他人的手机号注册信息等内容，这些都是业务逻辑漏洞。

墨者学院靶场环境中，有2个跟业务逻辑漏洞相关的靶场环境，不妨来试试，深入了解一下漏洞的形成原理：

身份认证失效漏洞实战：https://mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe

登录密码重置漏洞分析溯源：https://mozhe.cn/bug/detail/K2sxTTVYaWNncUE1cTdyNXIyTklHdz09bW96aGUmozhe

（注：以上涉及到的日期时间，均通过公开搜索引擎获得，可能与真实时间有出入。）