返回信息流[灌水] 惊爆!QQ监控没完 腾讯WebQQ的Gmail模块钓鱼
转自 http://bbs.kafan.cn/thread-793018-1-1.html
发表于 2010.9.16 09:58
WebQQ 2.0 上线,腾讯又多了款重量级的应用,但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。
图像请参考原帖
展开这个页面的 iframe 地址,发现是在 qq.com 域下
https://web2.qq.com/cgi/gmail/gmail.html
但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面。
查看其源代码,发现并没有提交到 Google 的痕迹。
然后我们查看其相关的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),发现其中有段代码为
var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"};
if (u != null && p != null) {
option.u = u; // Google 帐户用户名
option.p = p; // Google 帐户密码
}
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );
这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么呢?就在本文件的第 14 行
var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';
也就是说,你的 Gmail 用户名和密码实际上是提交到了
https://web2.qq.com/cgi/qqweb/gmail.do
这个地址。
那么,作为个技术人,我不禁想问:“腾讯,你想干什么?!” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码,并检查 Gmail 过滤器中有无可疑的项目。
PS,这次的 WebQQ2.0 放弃了 YUI,使用了名为 Jet 的 JavaScript 框架,对其感兴趣的可以关注。
UPDATE
* 该 URL 在 Firefox 中也已被人举报为恶意网站
* 该 Gmail 应用已经被撤下,对应的 JS 文件也已被删除
这是一条镜像帖。来源:北邮人论坛 / security / #29936同步于 2010/9/16
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
转帖 [灌水] 惊爆!QQ监控没完 腾讯WebQQ的Gmail模块钓鱼
freeflying
2010/9/16镜像同步3 回复
订阅后,新回复会通过你的通知中心匿名送达。
3 条回复
见到针的人反而不说是尖都不行了...en...
【 在 BaBa 的大作中提到: 】
: 见个尖就以为是针
: 【 在 freeflying (Artie) 的大作中提到: 】
: : [灌水] 惊爆!QQ监控没完 腾讯WebQQ的Gmail模块钓鱼
: ...................