今天中午的时候,在微博上看到某基友分享了一个网站漏洞。截止发布前还没有修补。
是一个24小时挂q网站,网站利用用户生产的QQsid进行网页挂Q,大家都知道在手机腾讯网(wap.3g.qq.com)登录QQ,即可在线半个小时。网站就是利用这个方法,每20分钟刷新一次网页,从而达到24小时在线。
既然在手机腾讯网登录QQ,就会自动生成一个QQ SID,有效期为一个月,大家可以登录一下自己的QQ,然后保存为书签。在书签的网址里面看到sid= 比如:
http://q32.3g.qq.com/g/s?sid=AbCfXj5ItFdwyiVvk2nyyJN-&3G_UIN=4100461&saveURL=0&new3gqq=true&aid=nqqchatMain
可以看出4100461是QQ号,AbCfXj5ItFdwyiVvk2nyyJN为SID。
上面我还没说完呢。该挂Q网站的漏洞是在域名后面加上/md.dat 即可查询到在该网站登录过的所以QQ的sid,最早是今年4月份的。貌似大约是3000多条,在有效期的有600多条。
知道了某QQ的sid就意味着可以登录这个QQ,可以用手机,也可以用电脑+opera浏览器,个人信息完全暴露,查看你的邮箱,得到更多的资料,你的支付宝都是危险的...QQ被盗也是不可能。
还可以利用这些sid刷空间人气,留言,微博听众等等用途。
所以提示大家:千万不要在非腾讯页面输入你的QQ号和密码,即使该网站幕后人不利用你的QQ号,也有可能被其他人利用。
文章评论
不错不错 ;-)