来自江南天安的猎户实验室,虽然成立时间不足一年,但其强劲的实力已经屡屡引起了业内的注意,他们不仅频繁出现在微软的安全研究人员感谢名单,更是不断发现各大互联网公司的常用产品的安全漏洞,及时提交厂商,在这个犹如黑暗丛林般的网络年代,他们为在丛林中摸索前行的广大用户保驾护航。
前几天,猎户实验室在补天漏洞相应平台参加团队活动,又发布了一个重量级互联网产品——腾讯邮箱的安全漏洞。
腾讯邮箱网站上的crossdomain.xml 文件由于业务的繁杂导致配置的范围过大,导致容易形成CSRF漏洞,因为邮箱的所有操作均需要一个sid参数,进而组织了漏洞的利用。但正因为这样,只要我们找到页面中存在泄漏sid的链接并获取,这样就形成CSRF 漏洞。
前段时间,QQ邮箱也爆出了一个XSS,(详情如下:http://bobao.360.cn/learning/detail/2262.html)。我们的研究人员捕获到这个漏洞的时候,它已经被在黑产圈内广泛用于重置iCould密码 。
通过邮箱重置iCloud密码早已已经形成了一条黑色产业链,很多不法分子从中盈利。其中最常用的手段之一就是通过XSS进入目标邮箱,然后在苹果官方申请密码重置,黑客获取到苹果发送的重置密码的邮件就可以重置密码,然后可以解锁被盗手机进行二次销售,或者锁定用户手机以此勒索用户等等非法行为。
而QQ邮箱作为使用量最多的邮箱,其中的XSS漏洞危害会更大。像本次这种水坑式XSS更是可以用来大面积撒网攻击用户。所以补天再次提醒各位用户,除了经常更换邮箱密码之外,关闭邮箱的时候一定要点击邮箱中的“退出”按钮,这样Cookie就会失效,黑客也就没有办法进入邮箱了。
不过还好,补天及时收集这一漏洞并报告给腾讯,避免造成更大的损失。
网络安全如同巨头们的阿喀琉斯之踵,虽然他们身躯庞大,但是却有着致命的弱点,这个时候,我们的英雄们,就如同夜空中最亮的星那样闪耀,废寝忘食,不断地在网络上搜寻,查找漏洞,通知厂商解决问题,他们大多隐姓埋名,不愿意被世人所知晓,只是在我们的背后,默默地保护着每一个在网络空间里涉水而行的普通用户,猎户实验室,愿你们继承奥瑞恩的光,永远闪耀在银河的一角!期待你们在补天团队活动中取得更好的战绩!
文章原文链接:https://www.anquanke.com/post/id/82966