首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 软硬件防火墙 > 惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图) > 正文

惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)

出处:赛迪网  作者:赛迪网  时间:2004-4-8 22:37:00

 QQ作为国内最为强大的即时通讯软件,其庞大的用户群一直左右着IM软件的发展,在其2003Ⅲ正式版中又再加入了更多的新功能,如视频/语音聊天、共享文件服务、腾讯手机短讯通等。但不幸的是,QQ的安全问题也随着它功能的增强而增加,这对于偶尔使用QQ的用户影响不大,但对那些已经将QQ作为日常生活中不可分割的一部分的网民来说,QQ的安全性是他们必需要重视的问题。在本文中,我们就一起来剖析3月5日发布的QQ 2003Ⅲ 正式版存在的安全隐患,希望腾讯能及时堵住这些安全漏洞,网民们在使用QQ 2003Ⅲ 正式版时,请根据本文的介绍做好自我防护!

  非常规下载--共享文件夹安全问题

  首先我们先看看腾讯QQ最新开通的共享文件夹服务,该服务可以让我们自定义一个或多个文件夹,开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”,即可打开共享文件夹。

  安全问题描述:为了更好地描述这个安全问题,让我们先做个实验:假设A君开设了一个名为QQBug的共享文件夹,而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现,如果B君在下载文件的过程中,A君突然将共享文件夹改为“取消共享”的话,按理说B君应该下载不了那些共享文件了,但事实恰恰相反:B君在不刷新该共享目录时,仍然可以不紧不慢地下载他所需要的文件,甚至在B君刷新了A君的共享文件夹列表后,该文件也可以照样传输!当这个情况让A君发现后,A君却无法对B君进行任何有关阻止下载的操作,因为QQ根本没有提供这样的菜单让用户选择。

  安全问题分析:QQ的共享文件夹功能存在的设计隐患,可让对方用户下载其他用户已经取消共享的文件,从而导致了共享方的损失,这个安全问题带来的后果是比较严重的:有经验的用户或黑客,可以从这个安全问题里分析出更多有用的信息,令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本,针对这个Bug做出修订。

  解决办法:由于共享文件夹的缺陷,普通用户只能采取断线、退出QQ等方法制止对方继续下载。

  特别提示:由于共享文件夹相当于一个基本的P2P软件,因此文件夹里可能有木马等病毒,对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。

  恶意代码横行--自定义面板安全问题

  QQ的自定义面板服务可以让网友自由定制喜欢的网页作为面板,作为QQ的免费功能,它与共享文件夹一样存在着不容忽视的安全隐患。

  安全问题描述:单击QQ面板上的“收藏→设置”,就能设置我们喜爱的网站作为面板,但安全问题也因此而起:由于这些页面可以是任何可执行脚本的HTML网页,因此当我们设置了一些具有恶意脚本的网页时,其情形就像浏览器“中招”一样,轻则被修改系统,重则被格式化硬盘。别以为我在吓唬你,在测试这个功能的时候我们选用了一些能不断打开新窗口的网页,还有一些包含恶意脚本的页面,结果发现有些在IE浏览器里面可以使用Ctrl+Enter阻止弹出警告框的页面,在QQ面板里没有给予很好的支持,导致窗口越开越多,警告框一个接一个地出现,严重地消耗了系统的资源。因此,如果网页包含的是不再是弹出窗口而是格式化硬盘的代码的话……

 安全问题分析:QQ面板很高的自由度令恶意代码和网页有可乘之机。在现在这个网络病毒泛滥的时代,如果这种问题未在进一步扩大化前进行修订的话,不怀好意的人甚至可以利用这个问题广泛传播病毒。

  解决办法:网页中的恶意代码常常令人防不胜防,建议那些主要使用QQ聊天的用户不要使用该功能。而对那些比较有经验的朋友,建议你们在添加自定义面板时,先确认该网页没有安全问题。

  短信轰炸的帮凶--腾讯短讯通安全问题

  短信作为现今各大营运商的重要赢利工具,它的新功能不断地被发掘出来。现在,QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。

  安全问题描述:QQ的短讯通功能可以向好友发送不同的短消息,如图1所示。但我们在使用过程中发现,用一个未绑定手机的用户可以进行短消息的连续发送,而接收方只能被动地接受这些短信。

  



  

图1 腾讯短讯通操作界面



  我们为此做了一个比较残酷的实验:用QQ短讯通的发关短信祝福语功能,在3分钟内发送了超过30条短信给绑定手机的用户,该手机先断断续续地收到几条短信,但在过了3~4分钟后,手机突然不间断地响起接收短信的音乐。拿起手机一看,刚才我们用短讯通发的消息全部都一股脑儿地接收到了,只好一边删除一边接收新的信息。

  安全问题分析:这种密集型的手机短消息发送,就是最近讨论得很激烈的手机被轰炸的问题。而我们也从这个实验中看到,作为被动接收的一方,可以在短时间内被短消息批量攻击而无还手之力,严重地影响了手机用户正常的生活和工作,相信大部分用户都不会喜欢。

  短讯通作为QQ重点推介功能,我们觉得腾讯应该对短消息的发送进行高级一点的设置和防御,比如说在1分钟之内不得发送相同内容的信息多少条,或者限制QQ用户每个小时的短信息发送量,以减轻短消息轰炸手机的可能性。

  解决办法:腾讯公司提供了一个可以拒绝QQ发送短消息给手机的功能——分项取消服务指令“0000”:如你想取消手机定制的单项包月服务,可编辑短信“0000”发送到“1700”,过一会儿你的手机将会收到以下短消息:

  1.“回复QX+序号,取消所订购的包月服务:0 所有订制包月服务;1 第一项服务(你开通的包月业务名称);2 第二项服务(你开通的包月业务名称)。

 2.如果你想取消移动聊天(161)包月服务,请编辑短信00000发送至161取消服务。

  3.如果你想取消WAP服务中的QQ聊天包月服务,请用手机WAP功能登录梦网首页取消包月服务。

  “必杀技” 一步退订所有服务指令“00000”:如果想取消手机所定制的所有包月服务,可编辑短信“00000”发到“1700”,你的手机将会收到以下短信息:

  “你已取消由腾讯公司提供的所有包月服务,从下月起不再收费,腾讯客服电话:0755-83765566”

  但这也有个遗憾,就是我们以后再也不能接收到朋友从QQ上给我们发送的短消息了,包括所有的图片与铃声。其中的得失,你可要好好考虑一下。

  不看白不看--腾讯TT安全问题

  腾讯TT(Tencent Traveler)是继承了旧的Tencent Explorer浏览系统,以全新的形态出现在我们面前的多页面浏览器。它与QQ结合紧密,我们可以在浏览器中登录QQ,迅速转入腾讯网站、腾讯讨论组、腾讯社区等相关服务。该浏览器还具有自动填表、清除浏览数据、恢复最近浏览页面等功能。而我们此次所发现的问题,就来自上述功能之一的“自动填写表单”。

  安全问题描述:一般来说,我们使用自动填写表单功能,是为了能快速地填写一些申请表。经过对腾讯TT的仔细分析,我们发现腾讯TT竟然将表单的数据全部以明文的形式写在腾讯TT安装文件夹根目录的FormData.ini文件里,只要用普通的记事本打开该文件,用户的信息就会一览无遗!如图2所示。

  



  [align=center]图2 泄密的FormData.ini文件[/algin]

  安全问题分析:虽然经过实验证明腾讯TT在保存表单里默认情况下不保存密码,但事实上,我们同样可以通过它的添加数据方式进行密码保存。要是有某位仁兄为了省事而将网络银行等信息一股脑儿地全输进去的话,那损失的也许就不只是几个信箱和ID那么简单了。显然,无论腾讯TT基于什么理由让填表的数据以明文的形式存在,都让人感觉它制作的潦草马虎。

  解决办法:如果你喜欢用腾讯TT进行表单的保存的话,应该注意不要将一些重要的和敏感的资料填上,尤其是密码和密码寻回的问题与答案。手工填写虽然麻烦一些,但至少不会给别有用心的人以可乘之机。

  QQ 2003 Ⅲ正式版虽然针对某些Bug进行了修订和功能上的完善,但其中的共享文件夹、短讯通、腾讯TT、自定义面板上还存在着不少安全隐患。而据我们的分析,一旦这些隐患被不怀好意的人利用,很可能直接就会造成QQ用户的损失。

  不过,虽然说了这么多QQ不安全的理由,但我们的用意,只是帮助QQ用户更好地做好自我防护。实际上,QQ2003 Ⅲ 正式版添加了许多强大的功能,还对以前版本导致QQ不稳定的代码进行了改进,所以当我们试用了这么多功能后,它还没有发生过一次异常退出,在稳定性方面的确进步很大。

,
相关文章 热门文章
  • [图解]如何设置代理服务器?
  • Kerio Winroute Firewall 6.01 VPN使用详解
  • Kerio WinRoute Firewall安装全攻略
  • Kerio Network Monitor完全使用教程
  • CISCO PIX 防火墙及网络安全配置
  • 路由器典型防火墙设置
  • 惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)
  • PIX防火墙系统管理
  • 邮件服务器与代理服务器软件配合方案
  • 完整的pix525配置
  • 用PIX构筑铜墙铁壁
  • CISCO PIX515E 防火墙的设置
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号