天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

WebQQ2.0高调上线,引爆钓鱼危机

2010-9-14华军资讯佚名

昨日WebQQ2.0上线,业界关注度可谓是极高,该网站以WebOS形式整合了腾讯大部分产品,同时包含了一些第三方产品,笔者也饶有兴趣的去体验了一番,感觉整体效果十分出色,不管是腾讯自己的产品,还是第三方产品,设计得都十分贴近生活。

但是这其中也隐藏这危机,就在体验了还不到一个上午茶的时间,有网友爆料,WebQQ2.0中的Gmail模块有钓鱼嫌疑,事情究竟是怎样的呢?

原来腾讯的Gmail模块并没有直接将该程序指向官方Gmail站点,而是自己做了一个读取Gmail新邮件标题的页面。该页面内含一个登陆框,但在此框登录时,并未回到Gmail官方网站进行OAuth验证,就直接显示了未读邮件。有网友从而认定此页面有钓鱼嫌疑。而该页面已经被举报为攻击页面,受到包括Firefox、Chrome等主流浏览器和Twitter等网站的拦截。

不过腾讯工作人员的反应还是相当迅速的,在12:45进行了维护更新:紧急撤下了WebQQ2.0中的Gmail应用,将“QQ邮箱”替换到相应位置。目前在WebQQ2.0我们已经看不到Gmail的身影了

1

对于此次的钓鱼事件,从网站技术角度,我们来看看一位网友的分析:

当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。展开这个页面的 iframe 地址,发现是在 qq.com 域下https://web2.qq.com/cgi/gmail/gmail.html

但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面。

查看其源代码,发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),发现其中有段代码为

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} ); 

这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是说,你的 Gmail 用户名和密码实际上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

这个地址。

那么,作为个技术人,我不禁想问:“腾讯,你想干什么?!” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码,并检查 Gmail 过滤器中有无可疑的项目。

PS:这次的 WebQQ2.0 放弃了 YUI,使用了名为 Jet 的 JavaScript 框架,对其感兴趣的可以关注。

UPDATE

该 URL 在 Firefox 中也已被人举报为恶意网站

该 Gmail 应用已经被撤下,对应的 JS 文件也已被删除

 

结束语:不知道是腾讯方面的技术故障还是说确有其事,但笔者要提醒大家的是,对于网页的安全防护是十分至关重要的,保证至少要在电脑中安装一项网页防护措施,以备不时之需

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行