如何绕过qq验证加好友支付阶段

来源:蜘蛛抓取(WebSpider) 时间:2015-03-22 20:00 标签: 怎么绕过qq空间权限
分享漏洞:
披露状态:
: 积极联系厂商并且等待厂商认领中,细节不对外公开
: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
JavaScript验证表单不佳,本地构造即可绕过。
详细说明:
江苏省内网民可以测试http://221.231.151.68/DPS/,宽带账号点http://221.231.151.68/DPS/gotoQuan.jsp?wo=kd 开启圈圈获取
然后网页选中开通业务,表单本地修改下,删除里面if判断即可。
漏洞证明:
修复方案:
电信的事情我管不了
版权声明:转载请注明来源 @
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:8 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
给我开个会员哈
最近发现江苏电信黄页的网上商城也有这个问题,可以利用adsl账号刷一些东西
我想起了04年左右疯狂的电信宽带刷东西的情形
登录后才能发表评论,请先6月19日消息,央视财经频道播出《关注移动互联网&支付陷阱》,讲述了移动互联网时代,手机病毒是如何神不知鬼不觉的盗刷用户银行卡的过程,让很多手机网购支付用户看了后都触目惊心。
三个银行卡被盗刷案例
深圳的周先生,接收到一条团购短信,点击网址链接后在手机上安装了一个团购APP软件,预定了一个酒店并输入自己的帐号和密码,但是屡次显示转账不成功。随后,周先生发现自己银行卡里的钱被刷光。
郑小姐同样收到一条短信,内容是下载安装App可以通过手机号码的积分兑换现金,她根据短信中的网址下载App安装至手机后,根据App的提示输入账号密码等待获奖现金,随后她发现自己银行卡中的9000元被盗刷。
张女士收到一条短信,内容是&这是你做的事的照片,太恶心了吧。&并后附了一个看照片的网址,张女士很好奇,点开网址后手机并未有异常。接着,张女士很多朋友告诉她收到同样的垃圾短信。当张女士查看银行卡资金的时候,发现4万元现金被盗刷。
三个案例中的受害人,都是因为收到一条带有网址链接的短信后,而遭遇银行卡被盗刷,这让很多人不解,到底为何一条短信就能导致丢钱?
民警和手机安全专家解读案例
深圳市公安局反信息诈骗中心民警在接受采访时表示,三个银行卡被盗刷的案例都是通过诈骗短信的方式让用户下载安装带有木马病毒的App软件,然后记录用户输入的银行卡账号密码,从而实施盗刷,而且诈骗分子已经形成了非常庞大和完善的诈骗产业链。
&它有一个非常强的技术支持。我们把它叫做灰色产业链,有人研发木马,有人研发网络病毒也好,或者其它后门软件也好,都是有很强的技术性,跟传统的诈骗不一样。&民警表示。
节目中,腾讯手机管家安全专家还通过实验还原了手机木马病毒是如何利用虚假App盗取用户个人信息并实施盗刷银行卡的。安全专家邀请现场志愿者参与实验,利用带有恶意网址链接的短信发送至志愿者手机中,结果参测的志愿者均通过恶意网址链接下载安装了带有&劫银刺客&木马病毒的App,安全专家通过该木马病毒成功获取了这些志愿者的银行账号和密码。
据安全专家介绍,&劫银刺客&木马病毒被二次打包到一些手机网购、支付、游戏类应用中,通过二维码、诈骗短信等方式骗取用户打开恶意链接下载安装之后,隐藏在后台躲避用户卸载,然后偷偷的拦截用户收到的各类手机支付、网购短信,截取用户在虚假App客户端上输入的账号、密码信息,接着再通过第三方支付工具发起快捷支付的方式发起盗刷请求,木马病毒再拦截手机支付短信验证码并发送至指定手机号,通过该短信验证码从而完成盗刷。
专家支招应对&手机劫匪&
对于手机木马病毒伪装成山寨App,普通手机用户如何分辨真假呢?记者采访了,腾讯手机安全工程师,他提醒广大手机用户:
第一,看文件大小。真手机App,支付、网购、游戏类一般在几M-十几M大小;而假App则一般不足1M大小;第二,看应用的权限。一般安装App的时候安卓系统会有权限提醒,假应用的权限要求较少,一般只有发送读取短信、上网、开机启动等几项权限,而真应用则要求权限会更多一些;第三,是否直接要求输入账号密码。假App一般会直接要求用户输入账号密码,基本的登录都不需要;第四,看进程。通过系统进程管理,可以看是否有手机桌面没有的应用却在后台运行的可疑的进程。
他还提醒广大手机用户通过以下手段免遭木马病毒侵害:
第一,不点开任何不明来历的网址链接;第二,安装手机安全软件,比如腾讯手机管家,定期查杀病毒;第三,到应用官方站点或正规的应用市场下载应用,不要去手机论坛、非安全电子市场下载;第四,iPhone手机最好不要越狱,可减少侵害;第五,遇到银行卡被盗后立即第一时间报警,目前腾讯手机管家已经与深圳、陕西等地警方、银行等建立了反信息诈骗联盟,通过报警,警方可以联合手机安全专家帮助查找线索,追回损失。
编辑:nakake
猜你喜欢:
最新图文资讯
站长之家专栏推荐
增值电信业务经营许可证: 闽B2-号 - 北京公安局网监中心备案号: 95号 -
(C)CopyRight 2002- Inc All Rights Reserved. 站长之家 版权所有保证移动支付安全性的几个有效方法
[摘要]智能手机不仅是人类沟通的重要工具,甚至开始承担起支付的重任。基于移动平台的在线支付工具已经非常普及。
腾讯数码讯(Lotus) 智能手机不仅是人类沟通的重要工具,甚至开始承担起支付的重任。基于移动平台的在线支付工具已经非常普及,包括国外的PayPal、Venmo,国内的支付宝、银联钱包等等,而、、谷歌等巨头目前专注于手机接近式移动支付,旨在代替传统的现金和信用卡。但是,一个不能忽视的问题便是安全性。近日国外媒体报道称,国外社交+支付应用Venmo对其安全性不足的问题进行了道歉,事件起因在于一位用户投诉称,有人黑入其Venmo账户并转账了2850美元。这位用户马上向大通银行反应,迅速得到了退款,而Venmo的支持团队则在两天后才与其联系。显然,移动支付的安全性似乎面临一些质疑。一份报告显示,即便是以指纹支付验证为基础的 Pay,黑客也能够通过一些手段绕过其验证系统。那么,究竟有什么有效的方式能够保护手机钱包、手机支付应用的安全性呢?不妨参考下面几个重点:1. 双重身份验证双重身份验证的好处在于,即便用户登录了手机支付应用,输入密码后,仍需输入验证码才能完成支付。也就是说,如果有人知道你的支付账户和密码,希望通过网页进行支付,没有验证码依然是无法实现的;而即便手机被盗,小偷基本上也不会知道你的密码,所以无从下手。2. 使用官方应用商店的支付应用显然,越狱后的iOS设备及Android设备都存在一定的安全隐患,主要来自于非官方验证的应用。所以,不要从任何非官方应用商店下载安装支付应用,因为它们都可能存在盗取用户信息的恶意代码。3. 加强设备本身安全性如果你的手机内置指纹传感器、同时支付应用又支持指纹验证的话,那么一定要开启这项功能;如果不支持,最起码要设置一个额外的锁屏密码。另外,安全专家还建议用户查看手机的隐私设置,确保应用程序访问权限的合理性。4. 使用信用卡而非借记卡如果使用手机支付应用购物,在允许的情况下,尽量将信用卡绑定到支付应用中,而非借记卡。主要原因在于,一般银行的信用卡都拥有补偿条例,比如用户遭到盗刷时可补偿一定金额,但借记卡往往没有。5. 使用可信任的因特网连接如果是在咖啡厅、餐厅等公共区域,建议不要使用公共WIFI进行支付。因为一些黑客往往喜欢潜伏于此,通过骇入安全性较低的公共无线网络来获取用户信息。即便你的支付信息是加密的,也有可能被手段高超的黑客破解,从而获得支付账户、卡号、密码等信息。6. 设置账户更改警报通常来说,支付服务都拥有一些账户改变警告的通知设定,比如改变密码、支付行为、绑定手机终端等等,将这些服务都开启,有助于我们即时了解支付账户的变化。同理,信用卡也广泛支持消费短信、微信提醒服务。7. 确定转账人信息这个部分其实不仅仅适用于手机支付,任何线上、线下的转账,都应该首选确定好转账人的信息。不要轻信一些所谓“房东”、“好友”,一定要在充分确认对方身份时,再进行转账。来源: 查报价,看新品,尽在腾讯数码官方微信 扫描左侧二维码即可添加腾讯数码官方微信 您也可以在微信上搜索“腾讯数码”或“qqdigi”,获取更多数码资讯。
[责任编辑:yannwang]
还能输入140字
Copyright & 1998 - 2015 Tencent. All Rights Reserved

我要回帖

更多关于 怎么绕过qq空间权限 的文章

 

随机推荐