[安全]需谨慎 QQ邮箱暗藏盗号风暴

(文章来自电脑报2008年第37期F版/责任编辑：陈邓新 作者：HNC网络联盟  CJ也疯狂)

博弈主题：QQ邮箱
技术难度：★★★★★
重点知识：如何在QQ邮箱中跨站挂马

　　最近，黑客发现了腾讯QQ邮箱的两个0Day漏洞，如果有不怀好意的人利用这两个漏洞就可以传播木马，伺机盗取用户的私人信息。大家想知道价值约20万人民币的漏洞是什么样的吗？请看我们的独家揭秘！

　　大家好，我是CJ也疯狂，又见面了。最近我的女朋友准备跳槽，想去腾讯公司，所以我先熟悉一下腾讯的所有产品，好给她提一些建议。一不小心就发现了两个腾讯QQ邮箱的0Day漏洞，真的是不小心的发现的！

　　其实导致这两个漏洞出现的原因都是一样的，没有过滤某些特殊字符，而且自定义路径居然可以自行修改为网页代码并能进行解析。后一点特别的关键，是漏洞产生的主要原因。利用这两个0Day漏洞，黑客就可以进行跨站攻击。如果跨的网站是恶意网站，用户就可能中毒，各自账号和密码就会被盗。此外，还可以利用漏洞进行刷流量、恶意宣称等。

　　我在黑市询价发现，这两个0Day漏洞最少也值2万人民币，如果多卖几个组织，20万人民币就到账了。不过，我是一个有道德、有思想、有品位、有觉悟的四有青年，所以我决定向我最喜爱的《电脑报》公布这两个0Day漏洞。

　　小知识：跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意HTML代码，当用户浏览该页时，嵌入的HTML代码就会执行，从而达到攻击的目的。XSS属于被动式的攻击，危害不算小。

更多报纸文章请点击新版电子期刊：http://www.shudoo.com/newslist.html

数动连线编辑整理发布
编辑：周俊