查看: 801|回复: 0

[互联网新闻] 腾讯想干啥:解析腾讯WebQQ2.0的Gmail钓鱼

[复制链接]
发表于 2010-9-14 14:48 | 显示全部楼层 |阅读模式
WebQQ 2.0 上线,腾讯又多了款重量级的应用,但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。

展开这个页面的 iframe 地址,发现是在 qq.com 域下https://web2.qq.com/cgi/gmail/gmail.html

但页面的形式与 Google 的风格一致,非常能让用户混淆这就是 Google 自家的页面。



查看其源代码,发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js(https://web2.qq.com/cgi/gmail/gmail.js),发现其中有段代码为
var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );
这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了,那么 GMAIL_SERVER_DOMAIN 的值是什么呢?就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = ‘https://web2.qq.com/’;

也就是说,你的 Gmail 用户名和密码实际上是提交到了https://web2.qq.com/cgi/qqweb/gmail.do这个地址。

那么,作为个技术人,我不禁想问:“腾讯,你想干什么?!” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码,并检查 Gmail 过滤器中有无可疑的项目。

PS,这次的 WebQQ2.0 放弃了 YUI,使用了名为 Jet 的 JavaScript 框架,对其感兴趣的可以关注。

UPDATE

该 URL 在 Firefox 中也已被人举报为恶意网站

该 Gmail 应用已经被撤下,对应的 JS 文件也已被删除

本文来源:Gracecode
温馨提示:
1、本内容转载于网络,版权归原作者所有!
2、本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
3、本内容若侵犯到你的版权利益,请联系我们,会尽快给予删除处理!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

客服QQ/微信
2313073271 周一至周日:09:00 - 22:00
十五年老品牌,学习网上创业赚钱,首先幻创,值得信赖!
幻创 版权所有!

本站内容均转载于互联网,并不代表幻创立场!
拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!

小黑屋|广告服务|加入vip|APP下载|手机版|( 桂ICP备18002327号 )| 幻创

GMT+8, 2024-11-29 16:48 , Processed in 0.073044 second(s), 30 queries .

快速回复 返回顶部 返回列表