不中毒不中馬不被釣魚的情況下,qq號會被盜嗎?
是這樣的,我想知道的是黑客有沒有方法可以用一些「半入侵騰訊」的方法登到我的qq,技術上是否可行?(我安全措施做到頂級的情況下)
不知道樓主所說的QQ被盜是什麼層面?
試著從幾個角度來剖析一下,也算是給大家開個腦洞。1)樓主所說的QQ被盜需要登錄軟體qq,獲取到qq密碼。
此類qq被盜,按照樓主所給出的需求,一般而言只有通過大數據的方式查詢社工庫得到你的密碼,此類入侵相對比較困難(如果樓主是安全意識比較高的人,在別的網站和qq密碼是不共用的情況)。2)換個角度?假如題主說的是登錄qq業務就算qq被盜。
此類qq被盜相對比於1而言就簡單多了。通過一個http://qq.com/*.http://qq.com域下的xss(跨站腳本),就可以獲取到你QQ的cookie以及skey等認證信息。如果說找不到怎麼辦?Android系統4.4.4以下版本存在一個通用的UXSS漏洞,通過該漏洞,黑客可以構造一個url鏈接發送給你的qq,當你在手機qq點擊之後,你的cookie等認證信息也就被黑客獲取,利用這個漏洞,黑客也是可以把你的qq給劫持的。除了xss之外,OAuth認證以及單點登錄等問題也讓QQ曾經存在這樣或者那樣被盜的風險。
詳情:
騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取騰訊OAuth平台 redirect_uri 過濾不嚴可能導致用戶信息遭竊取(二)
騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取(三)
騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取(四)
騰訊單點登錄系統clientkey劫持漏洞
歷史上,通過xss漏洞盜取QQ的案例已經屢見不鮮。關於這一點,烏雲君的知乎專欄已經總結的非常詳細,強烈推薦大家閱讀:http://zhuanlan.zhihu.com/wooyun/19775419。
最後應知友要求,附思維導圖一張:社工到你的相關真實信息後,可以猜密碼,還可以用真實信息通過「申訴」的手段拿到賬戶,也別忘了社工庫這種神器。上述手段均不需要種馬,也不需要直接釣魚。安全最薄弱的環節往往不是技術措施,而是人。看到樓上回答中有兩個「完全」,真捉急。
我盡量說的好理解。
關於題主說的半入侵騰訊的方式大概有XSS(獲取登錄信息,繼而以此偽裝成受害者進行操作,具體見下3),CSRF(以你的身份向騰訊伺服器發送請求,比如改密碼,見下5)
然後下面是常見幾種被盜途徑
1.弱密碼/曾在其他網站用過並泄漏的通用密碼。
2.XSS,獲取不到密碼但是能登錄你的賬戶,黑客獲取到一串字元串,用這串內容和伺服器交互,伺服器就會把擁有這串字元的人當成你。XSS代碼會被黑客嵌入在騰訊的頁面上,所以不容易被覺察,這個碰到了自認倒霉吧。對於沒有這方面經驗的人來講並不容易判斷安全與否。不過每次網頁登錄QQ及QQ其他服務時記得退出登錄再關閉網頁,這樣黑客獲取到的一串認證字元就會失效了,下次登錄時會生成一串新的。所以記得退出登錄是個很好的習慣(註:用瀏覽器的刪除記錄對此毫無幫助)
3.數據包被劫持:諸如連接不安全熱點,運營商作祟(可能不大,他們一般也就添加一下推廣鏈接)別人就可以抓取你和騰訊伺服器交互的數據,其中可能包含密碼,也可能只是一串能證明登錄的字元(別人得到就可以登錄)。
4.個人泄漏過多信息,通過申訴手段盜取。(近期聊天好友,常用登錄地點,手機,身份證,以及其他各種申訴所需信息)。這大概屬於他們說的社工範疇內。
5.CSRF,黑客構建一個頁面,當你訪問頁面的時候就會向伺服器發送請求,請求內容可能是修改密碼或者刪除好友什麼的。黑客並得不到關於你密碼的東西,而是直接以你的身份做事情。(涉及賬戶安全的CSRF出現幾率小的可憐,一般即便是有也是改改不重要的資料什麼的,平時注意不訪問安全未知的鏈接也是個好習慣)
還有其他方面歡迎補充當然會了,無論一個安全體系設計得多麼嚴密,人始終就是這個體系中最薄弱的一環。就拿你來說,如果某天你熟悉的某個人被黑客買通了(假設你真的有那麼重要),然後他就有可能可以接觸到你的手機,然後你的QQ就可以被盜了。需要侵入騰訊么?
使用其他弱安全網站你留下的密碼和QQ嘗試
可以,發自區域網的中間人攻擊。(如使用同一WIFI)
盜號的可以選擇站在你背後看你怎麼輸入密碼啊
會,
入侵騰訊還是不太可能的 QQ被盜可以說全部是由於木馬導致的 不明鏈接中潛伏著木馬 比如那些讓你看聚會照片 投票的不明鏈接 背後會有木馬 如果電腦不中毒沒有木馬 或者密碼不被別人偷看 完全不會被盜
請問蹭wifi導緻密碼泄露屬於題主說的哪一種?
推薦閱讀: