QQ空间官方账号被黑产利用漏洞分析

发表于:2019-12-03 09:30

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:任性的90后boy    来源:百度文库

#
漏洞
分享:
  2011年,Facebook推出了默认人脸识别功能实现自动识别圈人功能,2013年,Instagram推出名称为“你的照片”的圈人功能。基本都是用户利用这个功能在照片中圈出好友,并通过标签直接找到该好友的所有照片。圈人可以让照片成为找人的最佳途径。
  在2013年,QQ空间也推出了圈人功能,在他人对空间说说中,找到要圈人的照片,圈出照片中的好友,从中选择自己相对应的好友就可以。这个其实是个不错的功能,借助他人可以了解到更多信息。拿个简单的图表示下:
  从2015年开始,网络就有人说这个功能被人恶意拿来打广告。并给出了具体的方法。
  官方一直未修补(可能官方觉得这个是个正常功能,就是这样设计的),这个地方问题就出在了被圈出人显示的QQ昵称。这些做灰色产业游走在法律边缘的人,大脑真的是很聪明,就把这个地方做为一个商机,来打广告了。
  2018年6月8日,QQ空间官方账号发布“微视”小电影广告,正文部分是正常的腾讯微视广告,推荐了微视的“红人计划”。然而问题在于,这条动态下方被恶意圈出的人名单,附带了大量名称不可描述的链接。
  其实官方账号并未被盗用,只是被人恶意利用了圈人的功能了而已,把开始的图给重现一下:
  当天下午,官方做出了回应,表示该问题是因黑产利用了业务逻辑漏洞所致。同时官方对此表示了歉意,并称该问题已经被修复。
  说起来业务逻辑漏洞,其实是业务系统的一种设计缺陷,这种漏洞在真实的业务场景里面,多数可能用扫描器是无法发现的(除非是个超智能的人工智能扫描器),否则只能人工测试,常见的有密码找回、越权、顺序执行等问题。通过更改数据包中的ID值,来获取他人的敏感信息,如网银中的类似问题,修改数据包中的银行卡卡号,可以返回相对应银行卡的注册信息等内容。运营商的类似问题是修改数据包中的他人的手机号码,可以返回他人的手机号注册信息等内容,这些都是业务逻辑漏洞。

     本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号