近期好多空间都有类似病毒连接

大宝剑

如题  看看是否真的存在安全隐患       连接地址http://paypassport.suning.com/ids/oauth20/authorize?client_id=suning_01&response_type=code&redirect_uri=http://EwcbG.kanjiaa.top&www.qq.com

森林生灵

1.转发机制
腾讯地图的一个实时竞价页面存在一个XSS漏洞，由于没有对请求参数做严格检查，通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码，同时服务器没有对请求来源进行检测，因此可以造成CSRF攻击。

2.利用Skey进行敏感操作
Skey 是一次性口令，服务器为每个用户建立一个skey作为用户的权限代码，服务器验证该值即可获取用户的一些权限操作，该值会被浏览器记录在cookie信息中，只要用户不退出登录就会有效。也就是说如果获得一个QQ号码的Skey代码，也就相应的拿到了对方QQ登陆和管理权限，通过调用相应的操作接口API，即可不通过用户密码实现对用户空间，相册的访问权限，同时也可以发表说说，删除留言等一些敏感操作。

3.修复方案和建议
1. 针对用户，不要随意点击一些不良网站信息，如果不小心中招，解决方法就是快速退出空间，如果是手机登录的话就要退出QQ，重新登陆QQ，这样会产生新的skey，原来的skey就失效了。如果只是单纯的刷新网页，或者关掉手机QQ空间，则不会改变skey。
2. 针对漏洞厂商，要检测所有接口的输入参数，进行严格过滤，防止XSS漏洞的产生；同时要对数据请求来源进行判断，非同源数据过滤掉，从而防止CSRF攻击。


摘自Freebuff，FreeBuf有详细分析：http://www.freebuf.com/vuls/75711.html

astgo9988

只是 网址连接 更改  符号比较复杂而已   这不是早期的  QQ空间 钓鱼源码吗？  很老了      只要输入真实号码和密码  那就会被送到后台的数据库 保存     没什么用的

Because-of-love

不敢进链接

大宝剑

稚柚 发表于 2015-8-19 16:35
自己都说是病毒了，谁敢点

好吧....

大宝剑

Because-of-love 发表于 2015-8-19 16:35
不敢进链接

好吧.......

~___思密达

点了 狗屁没有。

dalaoha

假的空间登陆，应该会发出账号密码，虽然之后还是你自己的空间

huangjinlong

空间好多人发了这个，机智的我没有点

aaafff

开始测试         显示密码错误草