看我如何用**.qq.com两位短域名钓鱼收集用户敏感信息(如QQ\密码\密保手机号\身份证)
2016-02-29 10:51
155 查看
简要描述:
看我如何用**.qq.com(两位短域名钓鱼)收集用户敏感信息,如QQ号、密码、密保手机号、身份证等敏感信息然后去逗守爷详细说明:
http://wj.qq.com/没有对关键字做屏蔽,或者页面没有提示用户不要输入QQ帐号密码敏感信息详情请访问
code 区域
http://wj.qq.com/survey.html?id=269221&hash=238b
网址已消毒
漏洞证明:
code 区域
然后当有人访问http://wj.qq.com/survey.html?id=269221&hash=238b输入信息提交的时候,http://wj.qq.com/stat_overview.html?id=269221后台看到会是这样的
code 区域
P.S拿去逗了一下守爷,他并没有上当
修复方案:
code 区域我记得微信客户端对非qq.com的域名输入框都会提示不要输入QQ号码密码的,所以建议http://wj.qq.com/survey.html?id=269200&hash=c9b8页面提示一下用户不要输入敏感信息,或者生成问卷的时候,不允许某些关键字 如 QQ号码,QQ密码,等
code 区域
或者这是微信客户端的漏洞?应该微信上也加上在wj.qq.com输入信息的时候提示用户“这个不是腾讯官方网站,不要输入QQ密码?/笑
相关文章推荐
- JMeter核心抽象
- JAVA IO的使用原则及stream 和 reader的区别
- 聚类算法总结
- 【转】各种图(流程图,思维导图,UML,拓扑图,ER图)简介
- spring MVC配置详解
- Node.js 文件系统
- 新浪微博一处反射型XSS(可截获用户登录名及明文密码、可蠕虫、可刷关注)
- 微信扫描二维码登录网站---href设置二维码大小
- Nginx 反向代理学习(一)
- scribe日志分析工具安装
- Apache 反向代理与修改网页内容
- Node.js 函数
- Node.js模块系统
- 知识积累:JAVA的引用传递和值传递
- Bootstrap之模态框(提示框)
- win10 UWP RSS阅读器
- cocoa pods 安装教程
- 算法导论第三版习题7.1
- PAT-1027 打印沙漏
- 十八、UiAutomator 相关JAVA知识