【腾讯QQ漏洞】简单三分钟 教你如何获取上司的QQ密码
2013-06-06 14:10 腾讯 投稿

【导读】黑马读者大神多,这不,又有大神有了新发现。黑马哥接来一看,吓尿!你试试,看管用不?

作者:多梦 ? 博客地址:多梦博客

QQ作为国内互联网即时通讯的老大,其用户量甚至超越手机用户,有了QQ认识新的朋友时更多的不是交换手机号码,而是加一下我的QQ。作为一个如此重要的通讯工具,其安全性也是大家关注的焦点。尽管说黑客无处不在,但是只要你上网安份一点,一般也没有什么安全问题。不过,如果是QQ本身产品有漏洞,那这个安全隐患就实在是令人担忧了。

今天就让我来说说腾讯QQ的一个安全漏洞。这个漏洞早在2010年我就发现,那时候只是一时兴起,通过这个漏洞窃取了同个培训班同学的QQ,当然了,只是玩的心态,没有触犯别人的任何利益。

这几年来我也一直有关注这个问题,时不时试一下。今天试了一下,令人惊讶的是这个漏洞至今还在。PS:时不时试一下的场景主要是和朋友炫耀,并没有损害别人的财产利益,也没有损害公共财产利益,不要想多了。

这个产品漏洞就是QQ申诉。在2010年的时候我突然选择性失忆地忘记了QQ密码,然后想要回密码当然是验证密保了,但是密保居然也不记得(事实上长时间不改密保的话很,很少人会记得自己捏造出来的问题和答案),那只好申诉了。我到QQ申诉平台去简单填写了一下我的名字,和常在地区,其他的都没有填。

申诉结果是令人欢喜令人忧。令人欢喜的是申诉成功了,我可以重置密码了。令人忧的是,这么容易就通过审核,这个审核到底还有什么意义?作为一个菜鸟极客的我一样拥有敏锐的触觉(稍微自恋一下,哈哈),我马上就意识到这是一个漏洞。

所谓发散性思维在这个时候就起了关键作用,我马上联想到QQ上经常出现的一个提醒“您的好友不在常在地区登录”,对,地区。腾讯审核系统就是用地区作为判断条件,细化一点来说就是IP地址,因为我常在那个培训班的局域网里上网,QQ经常在那里登录,所以QQ已经把那里的IP地址列入白名单列入QQ申诉审核条件之一。

通过QQ申诉获取修改QQ密保最低条件:

一、在常登录地区(IP地址)电脑申诉。

二、知道平时在QQ上使用的名字,和近期常在登录地区。(这里选的是城市)

好了。知道这些条件,有了理论,接下来就是测试。那时候我拿了一个同学的QQ测试。结果是成功了。截至今天(2013年6月6日),这个方法依然有效,我早上还测试了一下。下面我把测试的步骤截图发上来。有图有真相。

第一步:打开QQ申诉网页,填写申诉QQ号。

 

 

第二步:填写QQ真实姓名(如果是你的上司,就写你上司的名字)和接收结果的方式。

 

 

第三步:填写验证码和选择QQ常在登录地区(你身边的人你不会不知道他们常在哪里吧?)。

 

 

第四步:填写用过的密保资料,知道就填吧,我相信你不知道,所以不用填了。

 

 

第五步:邀请好友辅助申诉,没有,就不填了。

?

第六步:提示说资料少,难通过,下面的图就说明了是不是难通过。

 

 

第七步:提交完毕有回执,这个保存不保存都一样,因为系统会发一份给你的。

 

 

第八步:看,邮箱收到的回执(注意:时间是中午11:40)。

 

?

第九步:申诉成功(注意:时间是中午11:41),居然只要一分钟?真的是系统审核么?

 

 

简简单单三分钟,你就可以获取你上司的QQ密码;简简单单三分钟,你就可以获取你爱人的QQ密码。因为现在聊天记录漫游了,还可以看TA们的聊天记录,我的天呐,这还有隐私么?!!!虽然TA们一样可以申诉拿回帐号,但是TA申诉这些时间里我想干的早就干完了。

声明:发布此博文只是想警醒众多网民注意自身帐号安全,并非有意传播黑客思想。