关于 WebQQ2.0 Gmail 的警惕

1Next >

Winnerzyy 发表于：10-09-14 14:25 编辑于：09-14 14:27 [取消收藏] [添加收藏] 楼主 [回复] #Top#

Winnerzyy	发表于：10-09-14 14:25 `编辑于：09-14 14:27` [取消收藏] [添加收藏] 楼主 [回复] #Top#
人气：367 积分：2147 金币：25099	WebQQ 2.0 上线，腾讯又多了款重量级的应用，但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。展开这个页面的 iframe 地址，发现是在 qq.com 域下https://web2.qq.com/cgi/gmail/gmail.html 但页面的形式与 Google 的风格一致，非常能让用户混淆这就是 Google 自家的页面。查看其源代码，发现并没有提交到 Google 的痕迹。然后我们查看其相关的 gmail.js（https://web2.qq.com/cgi/gmail/gmail.js），发现其中有段代码为 var option = {retype:3,callback:`"parent.qqweb.app.gmail.getListMail"`}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + `"cgi/qqweb/gmail.do"`,{method : `"POST"`, data : option} ); 这段应该就是往 `GMAIL_SERVER_DOMAIN` POST 用户名和密码登录了，那么 GMAIL_SERVER_DOMAIN 的值是什么呢？就在本文件的第 14 行 var GMAIL_SERVER_DOMAIN = `'https://web2.qq.com/'`; 也就是说，你的 Gmail 用户名和密码实际上是提交到了 https://web2.qq.com/cgi/qqweb/gmail.do 这个地址。那么，作为个技术人，我不禁想问：“腾讯，你想干什么？！” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码，并检查 Gmail 过滤器中有无可疑的项目。 PS，这次的 WebQQ2.0 放弃了 YUI，使用了名为 Jet 的 JavaScript 框架，对其感兴趣的可以关注。 UPDATE 该 URL 在 Firefox 中也已被人举报为恶意网站该 Gmail 应用已经被撤下，对应的 JS 文件也已被删除本文文章来源转自：Gracecode 好名字容易娶媳妇？ SEO学堂地方站长集结1号群 Ta最近还发表过 [分享] 关于php版搜索问题解决 (18-03-20) [分享] 针对一级栏目调用二级栏目数据无法分页的实现方法 (17-10-21) [其他] 具体报下大家是在零几年认识并接触KingCMS (16-11-17) [分享] OO_public模块的作用和使用 (14-06-06) [分享] KC与UC整合的设置教程 (13-04-15) 随机阅读 [帮助] 论坛版 9.10.0021 (16-10-26) [使用] KC地方门户有漏洞 (13-07-24) [疑问] 怎么给产品分类缩略图添加上传缩略图的功能 (11-07-01) [建议] 强烈建议动态和伪静态生成路径调整下 (11-01-09) [其他] 高潮来临,男女兴奋(未满18周岁未进) (10-12-22)

人气：367 积分：2147 金币：25099

WebQQ 2.0 上线，腾讯又多了款重量级的应用，但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。
展开这个页面的 iframe 地址，发现是在 qq.com 域下https://web2.qq.com/cgi/gmail/gmail.html
但页面的形式与 Google 的风格一致，非常能让用户混淆这就是 Google 自家的页面。
关于 WebQQ2.0 Gmail 的警惕[图1]

查看其源代码，发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js（https://web2.qq.com/cgi/gmail/gmail.js），发现其中有段代码为

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; 
 
if (u != null && p != null) 
{ 
    option.u = u; // Google 帐户用户名 
    option.p = p; // Google 帐户密码
}
 
formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );

这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了，那么 GMAIL_SERVER_DOMAIN 的值是什么呢？就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是说，你的 Gmail 用户名和密码实际上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

这个地址。

那么，作为个技术人，我不禁想问：“腾讯，你想干什么？！” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码，并检查 Gmail 过滤器中有无可疑的项目。

PS，这次的 WebQQ2.0 放弃了 YUI，使用了名为 Jet 的 JavaScript 框架，对其感兴趣的可以关注。

UPDATE

该 URL 在 Firefox 中也已被人举报为恶意网站
该 Gmail 应用已经被撤下，对应的 JS 文件也已被删除

本文文章来源转自：Gracecode

好名字容易娶媳妇？ SEO学堂地方站长集结1号群

Ta最近还发表过 [分享] 关于php版搜索问题解决 (18-03-20) [分享] 针对一级栏目调用二级栏目数据无法分页的实现方法 (17-10-21) [其他] 具体报下大家是在零几年认识并接触KingCMS (16-11-17) [分享] OO_public模块的作用和使用 (14-06-06) [分享] KC与UC整合的设置教程 (13-04-15)

随机阅读 [帮助] 论坛版 9.10.0021 (16-10-26) [使用] KC地方门户有漏洞 (13-07-24) [疑问] 怎么给产品分类缩略图添加上传缩略图的功能 (11-07-01) [建议] 强烈建议动态和伪静态生成路径调整下 (11-01-09) [其他] 高潮来临,男女兴奋(未满18周岁未进) (10-12-22)

Gougliang	发表于：10-09-14 14:41 沙发 [回复] #Top#
人气：1401 积分：11243 金币：13821	修复了就好。

Winnerzyy	发表于：10-09-14 14:42 板凳 [回复] #Top#
人气：367 积分：2147 金币：25099	Reply: 沙发其实我觉得腾讯应该知道的为什么还刻意发布出去呢

Gougliang	发表于：10-09-14 15:06 4楼 [回复] #Top#
人气：1401 积分：11243 金币：13821	Reply: 板凳产品多过头可能忙不来吧。

luke	发表于：10-09-14 15:35 5楼 [回复] #Top#
人气：489 积分：1943 金币：8004	他yy的就是故意的！

1Next >

发表回复

帐号	匿名发布审核后可见 [加载完整在线编辑器]
内容
验证码	计算题太难?换个简单点的.

我已认真阅读服务条款，并遵守具体协议内容

KingCMS 内容管理系统

关于我们联系我们广告报价付款方式站点导航

广州唯众网络科技有限公司粤ICP备08008106号