您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

QQ客户端网站链接过滤不严可导致网址欺骗

2009-2-4 09:50| 投稿: security

摘要: 漏洞说明:QQ是我们使用的最多的聊天工具,QQ安全中心从2006正式版推出了网站链接保护功能:QQ2006正式版优化了对不安全链接屏蔽、举报功能,限制这些钓鱼网站、恶意网站等不安全链接的传播,大大提高...
漏洞说明:QQ是我们使用的最多的聊天工具,QQ安全中心从2006正式版推出了网站链接保护功能:QQ2006正式版优化了对不安全链接屏蔽、举报功能,限制这些钓鱼网站、恶意网站等不安全链接的传播,大大提高了QQ用户在聊天时接收链接和访问链接的安全性。 于是平时聊天时,对于QQ聊天中传播的网站,我们基本都能有个清醒的意识,知道哪些该点哪些网址不能点。但是由于URL对于特殊字符的截断,导致QQ对于网站链接过滤可以很容易突破。 漏洞分析:浏览器解析URL的时候,可能会截断某些特殊字符,比如#,其实这个大家很早就知道,很多mdb数据库前加#,就是为了被浏览器截断使某些低水平的hacker无法下载,于是,我们可以用#构造特殊的链接,可以绕过QQ网站链接过滤的审核,成为安全网址! 漏洞测试:构造网址:http://oldjun.com#.qq.com,在QQ里测试:可以看到两个网址前的区别,而两个网址均指向:http://www.oldjun.com 利用的时候不一定要.qq.com,可以这样构造:http://oldjun.com#.sina.comhttp://oldjun.com#.baidu.com效果都一样,当然,可以隐藏一下网址,加密下:http://%6F%6C%64%6A%75%6E%2E%63%6F%6D#.qq.com 漏洞危害:本文无太多技术含量,很多人可能会不以为是,不过这个问题却很严重,我完全可以做一个QQ尾巴,传播处理后的网址,这样危害会不可想象的~ 漏洞扩展:可以截断网址的还有?哦,?是用来传参~~~它后面的都是参数而已~~~ 漏洞状态:已经提交官方,尚未修复~ 本文仅供安全研究,请大家不要恶意传播~

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部