腾讯QQ邮箱漏洞--修改封包欺骗邮件服务器

最新推荐文章于 2022-04-22 17:25:53 发布

原创最新推荐文章于 2022-04-22 17:25:53 发布 · 2.3k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#邮件服务器 #腾讯 #qq #2010

安全同时被 2 个专栏收录

1 篇文章

订阅专栏

服务器漏洞

1 篇文章

订阅专栏

腾讯邮件服务器存在安全漏洞，允许发件人篡改数据包，可能导致诈骗活动。已有成功案例在网上曝光，但漏洞至今未修复。

腾讯邮件服务器对邮件的发送时间未做效验导致发件人可以对发送数据包截取然后修改，达到欺骗欺诈的严重后果。

如果此此漏洞被一些助考机构利用，那将是非常严重的后果，网上貌似报道过此类诈骗成功的例子，不知道为什么腾讯的邮件服务器到目前还没修复。

漏洞证明

抓包获得的时间戳

http://www.wooyun.org/bugs/wooyun-2010-012498

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

aftear

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

QQ邮箱反射型xss漏洞

Coisini的博客

06-13

3275

……，对，我印象中写过了，刚才因为需要要用，搜索了一下，是空的，嘶嘶嘶～可怕～起因甲方“一个人的安全部”的时候，一个研发的同事在设计一项报表功能时，因为受到邮箱的安全限制无法很好的实现，于是将情况反馈给我。说实话，我对浏览器的安全也不太了解，案头的书翻了几页就没再动过，于是对比了腾讯邮箱的做法，发现了这个xss。背景公司使用coremail搭建企业邮箱，开发做了一个通过邮件发送h...

QQ邮箱有漏洞

diantoujue2449的博客

10-02

583

今天我用QQ邮箱发了一封邮件, 随便用Fiddler软件偷窥了一下相关的数据包, 结果发现邮件内容倒是没泄露, 但邮件处理页面上的联系人信息在Fiddler里是一览无余, 以后再也不敢用QQ邮箱了! 转载于:https://www.cnblogs.com/king3/archive/2012/03/06/2381642.html...

参与评论您还未登录，请先登录后发表或查看评论

腾讯再爆跨站漏洞（QQ邮箱自助服务）

07-13

qqkuazhan20070713.rar 利用前后源码页面

QQMail邮件泄露漏洞

swordheart的博客

04-12

412

漏洞详情披露状态： 2010-07-19：细节已通知厂商并且等待厂商处理中 1970-01-01：厂商已经确认，细节仅向厂商公开 1970-01-11：细节向核心白帽子及相关领域专家公开 1970-01-21：细节向普通白帽子公开 1970-01-31：细节向实习白帽子公开 2010-08-18：细节向公众公开简要描述： QQMail在一些设计上存在问题，恶意攻击者可以引诱用户打开一个链接，从而直接获得用户的QQMail内的邮件，在微薄上利用短网址将使这种攻击会非常有效，建议不要轻易

手机邮件打开一个html会中木马,小心，QQ邮件中的木马！

weixin_32736961的博客

06-24

2145

小心，QQ邮件中的木马！文/图冰河洗剑最近，笔者的QQ邮箱中经常收到一些莫名其妙的邮件和贺卡，让你看一段视频了什么的，这只是垃圾邮件吗？每次笔者看到这些邮件，都毫不犹豫的将其删除，绝对不打开查看——因为，这些看似无关紧要的邮件中，很可能就夹带着木马！一、QQ邮箱漏洞与木马传播在新版的QQ邮箱中，存在着一个很严重的挂马漏洞，恶意攻击者可以在邮件中输入恶意代码，让其它用户中招后台下载运行木马。与一般...

致命公司mod-by狛枝凪斗-封包v3.1.zip

最新发布

01-20

标题 "致命公司mod-by狛枝凪斗-封包v3.1.zip" 提供的信息表明这是一个游戏模组（Mod）的压缩包，由作者狛枝凪斗制作，针对的游戏可能是“致命公司”（Fatal Company）。模组通常是玩家社区对原版游戏进行的扩展或...

精选资源

登录器-网关-封包加密-自动更新.zip

06-09

"登录器-网关-封包加密-自动更新.zip"这个压缩包文件显然包含了一系列与网络游戏服务器相关的组件，尤其是对于私服游戏来说，这些组件是保持服务运行和安全的关键部分。下面将详细解析这些关键词所代表的技术点： 1...

API-O-Pensador：API封包执行O Pensador em JSON

02-01

API O Pensador API paraobtençãode frases网站位于O Pensador。丰特：O Pensador（） Desenvolvido com：Jquery e Ajax（js e PHP） Versão 1.0 科莫·乌萨尔：初始化API ...startAPI( " steve jobs " ) ;...

火山PC-易语言模块的封包读写(纯翻译)

04-16

"火山PC-易语言模块的封包读写"是一个专注于易语言编程环境下的模块封装和数据读写技术的主题。易语言是一款中文编程语言，旨在降低编程门槛，让更多人能参与到程序设计中来。首先，让我们了解一下"火山PC"。火山...

複製 -M2M封包分析工具.rar_m2m_封包_封包分析_封包分析工具

09-24

在IT领域，封包分析是网络通信中一种重要的技术手段，用于深入了解网络数据传输的细节。"M2M"（Machine-to-Machine）通常指的是设备之间的通信，例如物联网中的传感器和控制器之间的通信。"M2M封包"就是这种通信过程...

修改数据包欺骗服务器,关于arp欺骗修改数据包

weixin_28813803的博客

08-05

3862

2013-8-21 11:06 Wednesday关于arp欺骗修改数据包事情是这样的。现在有一款XO软件运行在好多个客户端上，客户端会不定时向服务端提交数据，走http协议，POST提交。比如提交的地址是http://110.112.114.119:1234/qq/login.php，post的内容是username=admin&password=123456，当然还会post一些其他内...

抓包欺骗服务器修改数据库,曹工改bug-本来以为很简单的数据库字段长度不足的问题，最后竟然靠抓包才解决 - 小黑电脑...

weixin_39748773的博客

08-05

596

问题描述这两天本来忙着新功能开发，结果之前的一个项目最近要上了，然后又在测试，然后就喜提bug一枚(not mine)，看bug描述，很简单，而且本地环境也重现了，只要输入2000个英文字符就可以复现。核心就是：当任务描述输入最大字符2000时，报未知异常问题定位这种字符数限制的，一般就是数据库的字段长度短了，于是我直接找到ssh，找到对应的日志看了一下，果然是这个问题。com.mysql.jdb...

抓包修改请求欺骗服务器,Fiddler协议捕获编辑工具与Session欺骗原理详解

weixin_34643336的博客

08-11

3005

今天Kitty主要与大家分享Fiddler抓包工具与协议捕获编辑工具来与大家讲解Session欺骗原理过程，咱们主要通过Fiddller协议捕获工具来对比HTTPWatch两款工具之间的差别，最主要的是我们可以通过捕获到的请求进行二次编辑重新发送给服务器，这中间我们做了一个请求的截获，这样就能够通过人工的方式改变捕获的接口请求本身，通过前端的界面拼装好默认的标准，按照自己的想法来组装请求，这样就能...

抓包欺骗服务器修改数据库,曹工改bug--本来以为很简单的数据库字段长度不足的问题，最后竟然靠抓包才解决...

weixin_28860509的博客

08-09

2432

问题描述这两天本来忙着新功能开发，结果之前的一个项目最近要上了，然后又在测试，然后就喜提bug一枚(not mine)，看bug描述，很简单，而且本地环境也重现了，只要刷入2000个英文字符就可以复现。核心就是：当任务描述输入最大字符2000时，报未知异常问题定位这种字符数限制的，一般就是数据库的字段长度短了，于是我直接找到ssh，找到对应的日志看了一下，果然是这个问题。com.mysql.jdb...

Fiddler- 篡改服务器返回的数据

wutrg1502的博客

04-22

1122

思路：首先打开咋们的fiddler了,配置一下filter过滤器，过滤到只显示接口信息，然后save一下对应接口的返回数据，然后将接口拉到AutoResponder中，更改接口的"then respond with"文件,改成之前save的文件。然后改文件里的值，再去刷新浏览器中的页面，检查返回数据就ok啦截图: 1. 开拦截 2. 保存服务器返回的数据 3. 将接口直接左向拉取到AutoRespinder中 4. 更改响应文件 5. 启用rule 6. 刷新浏览器..

自定义Request数据包欺骗服务器拿数据

qq_40162181的博客

07-17

1899

自定义Request数据包欺骗服务器拿数据案例背景思路：功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入案例背景案情：非法出售实名电话卡，嫌疑人WJ为虚拟运行商（YT公司）的代理，WJ开卡实名认证均通过YT公司的一个APK进行。

JAVA ARP欺骗封包修改(转)

yajie1010的专栏

10-16

499

ARP（Address Resolution Protocol）既地址解释协议，主要的目的是用于进行IP和MAC地址解释的。IP是网络层协议，而MAC是被数据链路层使用。网络中两个节点要进行通信，那么首先发送端必须要知道源和目的地的MAC地址，而网络层是使用IP地址，所以要获得MAC地址，就必须通过IP地址获取对应的MAC地址，这样就需要使用ARP协议将IP地址转换为MAC地址，而同时...

java编程实现arp欺骗_JAVA实现ARP欺骗性的数据封包监听

weixin_29461699的博客

02-28

406

在这里，我实现了一个简单的封包截取程序，根据ARP欺骗的原理，我们所需要做的事情如下：1、构建一个ARP Reply包2、将该封包发送到需要欺骗的机器代码如下：Code[copy to clipboard]CODE:public class LocalListener {private final static String GATE_IP = "192.168.11.1";private f...

tcpcopy---研究的就是如何欺骗服务器,让其相信复制的请求就是访问它的

重思想

10-15

2150

文档: http://code.google.com/p/tcpcopy/downloads/list 代码: https://github.com/wangbin579/tcpcopy 欢迎对这方面感兴趣.

MSI封装工具下载 - 安全无毒的封包处理软件

实际使用中，一个完整的MSI封包流程通常包括以下几个步骤：项目创建 → 添加文件与文件夹 → 配置安装逻辑（如安装条件、权限要求）→ 设置注册表修改项 → 定义快捷方式和服务 → 编写自定义动作（Custom Actions）...