1. 程式人生 > >QQ空間官方賬號被黑產利用漏洞分析

QQ空間官方賬號被黑產利用漏洞分析

黑產 邏輯漏洞

原文地址:https://mozhe.cn/news/detail/333

2011年,Facebook推出了默認人臉識別功能實現自動識別圈人功能,2013年,Instagram推出名稱為“你的照片”的圈人功能。基本都是用戶利用這個功能在照片中圈出好友,並通過標簽直接找到該好友的所有照片。圈人可以讓照片成為找人的最佳途徑。

在2013年,QQ空間也推出了圈人功能,在他人對空間說說中,找到要圈人的照片,圈出照片中的好友,從中選擇自己相對應的好友就可以。這個其實是個不錯的功能,借助他人可以了解到更多信息。拿個簡單的圖表示下:

技術分享圖片

從2015年開始,網絡就有人說這個功能被人惡意拿來打廣告。並給出了具體的方法。

技術分享圖片

技術分享圖片

官方一直未修補(可能官方覺得這個是個正常功能,就是這樣設計的),這個地方問題就出在了被圈出人顯示的QQ昵稱。這些做灰色產業遊走在法律邊緣的人,大腦真的是很聰明,就把這個地方做為一個商機,來打廣告了。

技術分享圖片

2018年6月8日,QQ空間官方賬號發布“微視”小電影廣告,正文部分是正常的騰訊微視廣告,推薦了微視的“紅人計劃”。然而問題在於,這條動態下方被惡意圈出的人名單,附帶了大量名稱不可描述的鏈接。

技術分享圖片

其實官方賬號並未被盜用,只是被人惡意利用了圈人的功能了而已,把開始的圖給重現一下:

技術分享圖片

當天下午,官方做出了回應,表示該問題是因黑產利用了業務邏輯漏洞所致。同時官方對此表示了歉意,並稱該問題已經被修復。

技術分享圖片

說起來業務邏輯漏洞,其實是業務系統的一種設計缺陷,這種漏洞在真實的業務場景裏面,多數可能用掃描器是無法發現的(除非是個超智能的人工智能掃描器),否則只能人工測試,常見的有密碼找回、越權、順序執行等問題。通過更改數據包中的ID值,來獲取他人的敏感信息,如網銀中的類似問題,修改數據包中的銀行卡卡號,可以返回相對應銀行卡的註冊信息等內容。運營商的類似問題是修改數據包中的他人的手機號碼,可以返回他人的手機號註冊信息等內容,這些都是業務邏輯漏洞。

墨者學院靶場環境中,有2個跟業務邏輯漏洞相關的靶場環境,不妨來試試,深入了解一下漏洞的形成原理:

身份認證失效漏洞實戰:https://mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe

登錄密碼重置漏洞分析溯源:https://mozhe.cn/bug/detail/K2sxTTVYaWNncUE1cTdyNXIyTklHdz09bW96aGUmozhe

(註:以上涉及到的日期時間,均通過公開搜索引擎獲得,可能與真實時間有出入。)

QQ空間官方賬號被黑產利用漏洞分析