2014年腾讯QQ爆大漏洞 黑客可登录QQ邮箱等业务

百度优化大师

近日，专注曝光各厂商漏洞的乌云曝光了腾讯QQ的一个非常严重的漏洞，称腾讯QQ客户端存在一个严重安全缺陷―― 腾讯某接口未严格校验访问来源IP，导致ClientKEY访问保护被绕过，黑客只要能获得用户的ClientKEY，就能访问QQ邮箱、QQ空间、QQ相册等一切腾讯旗下的业务系统。

简单地说，就算你的QQ密码没有被盗，那么只要黑客能截获到你的ClientKEY，就能随意访问你的QQ邮箱、QQ空间和QQ相册等一系列软件。

乌云曝光 QQ新漏洞

如何防御QQ空间QQ相册邮箱等QQ业务不被远程登录？

一、只要电脑不被黑客控制，那理论上就不用担心这个问题。

二、可能你看到此文章时QQ已经修复了这个漏洞，也可能漏洞还存在……

三、暂时不要在电脑上登录QQ客户端……

QQ客户端竟然 存在漏洞……

乌云对此QQ漏洞的描述

研究过腾讯客户端安全的人都知道，ClientKEY对于QQ整体的业务系统来说，是一个全局的访问令牌，只要获取到用户的ClientKEY，就能访问所有腾讯旗下的业务系统。

腾讯单点登录系统跨域劫持漏洞

腾讯单点登录系统跨域劫持漏洞 2

曾经多个白帽子报道过腾讯单点登陆系统的漏洞，于是腾讯加了一个来源IP验证来减少客户端攻击带来的威胁。腾讯当时的想法可能是：“就算你能搞到我的KEY，不在一个内网，你也影响不到我！”。

如今，这个防御措施仅仅因为某个接口的疏忽，就被绕过了

WooYun是什么？

WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。