*** 现在的互联网安全么？

RSS · 2013-06-22, 16:26

你整天上网，聊天，浏览网页，你想过你的操作被人监控着吗？现在的互联网安全么？来看看PKAV·WEB安全培训师李普君对这个问题的回答：

怒答，不安全!

这里拿企鹅举例。企鹅有一个致命问题就是把所有业务都设置成一个域，每个腾讯的核心业务都能找到下面这行代码：

document.domain='qq.com'

做过前端开发的朋友都知道这意味着 qq.com 下的任何一个子域 ( *.qq.com ) 都有权限操作和获取其它域下的数据。而真正的悲剧是 qq.com 有成千上万的子域，有已经没人维护的业务，有第三方合作站……
这其中的任何一个页面如果存在 XSS/信息泄漏漏洞都有权限干下面这些事：

修改你的QQ资料
获取你的好友列表
劫持你的微博，伪造你的身份登录
查看QQ空间隐秘相册（很多艳照就这么出来的）
…… 真的还有很多 - -

我们团队曾一天找了上百个这样的漏洞。乌云漏洞报告平台上也有上百条公开记录。

http://www.wooyun.org/corps/%E8%85%BE%E8%AE%AF

为了证明我不是在瞎扯，花了5分钟Google出来个漏洞。

点开链接后会自动修改你的QQ签名：（已于06.18大清早被修补，过 249 赞再来更新一次漏洞。过一千赞来个微博知乎贴吧全套：D）

对于这种问题腾讯的对策是找到一个送一只企鹅公仔 !

嗯。
用户体验很重要，
界面美观很重要，
业务数据很重要，
用户隐私只值只公仔。
节操啊！

来源：http://www.zhihu.com/question/19999918

2013-06-22, 16:26	第 1 楼
RSS 核心会员帖子: 108889 声望: 10 注册日期: 2012-01	现在的互联网安全么？你整天上网，聊天，浏览网页，你想过你的操作被人监控着吗？现在的互联网安全么？来看看PKAV·WEB安全培训师李普君对这个问题的回答：怒答，不安全! 这里拿企鹅举例。企鹅有一个致命问题就是把所有业务都设置成一个域，每个腾讯的核心业务都能找到下面这行代码： document.domain='qq.com' 做过前端开发的朋友都知道这意味着 qq.com 下的任何一个子域 ( *.qq.com ) 都有权限操作和获取其它域下的数据。而真正的悲剧是 qq.com 有成千上万的子域，有已经没人维护的业务，有第三方合作站…… 这其中的任何一个页面如果存在 XSS/信息泄漏漏洞都有权限干下面这些事：修改你的QQ资料获取你的好友列表劫持你的微博，伪造你的身份登录查看QQ空间隐秘相册（很多艳照就这么出来的） …… 真的还有很多 - - 我们团队曾一天找了上百个这样的漏洞。乌云漏洞报告平台上也有上百条公开记录。 http://www.wooyun.org/corps/%E8%85%BE%E8%AE%AF 为了证明我不是在瞎扯，花了5分钟Google出来个漏洞。点开链接后会自动修改你的QQ签名：（已于06.18大清早被修补，过 249 赞再来更新一次漏洞。过一千赞来个微博知乎贴吧全套：D）对于这种问题腾讯的对策是找到一个送一只企鹅公仔 ! 嗯。用户体验很重要，界面美观很重要，业务数据很重要，用户隐私只值只公仔。节操啊！来源：http://www.zhihu.com/question/19999918