• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

惊爆!腾讯QQ2003Ⅲ正式版安全出现漏洞(图)

发布: 2007-7-02 21:50 | 作者: admin | 来源: | 查看: 12次 | 进入软件测试论坛讨论

领测软件测试网

 QQ作为国内最为强大的即时通讯软件,其庞大的用户群一直左右着IM软件的发展,在其2003Ⅲ正式版中又再加入了更多的新功能,如视频/语音聊天、共享文件服务、腾讯手机短讯通等。但不幸的是,QQ的安全问题也随着它功能的增强而增加,这对于偶尔使用QQ的用户影响不大,但对那些已经将QQ作为日常生活中不可分割的一部分的网民来说,QQ的安全性是他们必需要重视的问题。在本文中,我们就一起来剖析3月5日发布的QQ 2003Ⅲ 正式版存在的安全隐患,希望腾讯能及时堵住这些安全漏洞,网民们在使用QQ 2003Ⅲ 正式版时,请根据本文的介绍做好自我防护!

  非常规下载--共享文件夹安全问题

  首先我们先看看腾讯QQ最新开通的共享文件夹服务,该服务可以让我们自定义一个或多个文件夹,开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”,即可打开共享文件夹。

  安全问题描述:为了更好地描述这个安全问题,让我们先做个实验:假设A君开设了一个名为QQBug的共享文件夹,而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现,如果B君在下载文件的过程中,A君突然将共享文件夹改为“取消共享”的话,按理说B君应该下载不了那些共享文件了,但事实恰恰相反:B君在不刷新该共享目录时,仍然可以不紧不慢地下载他所需要的文件,甚至在B君刷新了A君的共享文件夹列表后,该文件也可以照样传输!当这个情况让A君发现后,A君却无法对B君进行任何有关阻止下载的操作,因为QQ根本没有提供这样的菜单让用户选择。

  安全问题分析:QQ的共享文件夹功能存在的设计隐患,可让对方用户下载其他用户已经取消共享的文件,从而导致了共享方的损失,这个安全问题带来的后果是比较严重的:有经验的用户或黑客,可以从这个安全问题里分析出更多有用的信息,令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本,针对这个Bug做出修订。

  解决办法:由于共享文件夹的缺陷,普通用户只能采取断线、退出QQ等方法制止对方继续下载。

  特别提示:由于共享文件夹相当于一个基本的P2P软件,因此文件夹里可能有木马等病毒,对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。

  横行--自定义面板安全问题

  QQ的自定义面板服务可以让网友自由定制喜欢的网页作为面板,作为QQ的免费功能,它与共享文件夹一样存在着不容忽视的安全隐患。

  安全问题描述:单击QQ面板上的“收藏→设置”,就能设置我们喜爱的网站作为面板,但安全问题也因此而起:由于这些页面可以是任何可执行脚本的HTML网页,因此当我们设置了一些具有恶意脚本的网页时,其情形就像浏览器“中招”一样,轻则被修改系统,重则被格式化硬盘。别以为我在吓唬你,在测试这个功能的时候我们选用了一些能不断打开新窗口的网页,还有一些包含恶意脚本的页面,结果发现有些在IE浏览器里面可以使用Ctrl+Enter阻止弹出警告框的页面,在QQ面板里没有给予很好的支持,导致窗口越开越多,警告框一个接一个地出现,严重地消耗了系统的资源。因此,如果网页包含的是不再是弹出窗口而是格式化硬盘的代码的话……

 安全问题分析:QQ面板很高的自由度令和网页有可乘之机。在现在这个网络病毒泛滥的时代,如果这种问题未在进一步扩大化前进行修订的话,不怀好意的人甚至可以利用这个问题广泛传播病毒。

  解决办法:网页中的恶意代码常常令人防不胜防,建议那些主要使用QQ聊天的用户不要使用该功能。而对那些比较有经验的朋友,建议你们在添加自定义面板时,先确认该网页没有安全问题。

  短信轰炸的帮凶--腾讯短讯通安全问题

  短信作为现今各大营运商的重要赢利工具,它的新功能不断地被发掘出来。现在,QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。

  安全问题描述:QQ的短讯通功能可以向好友发送不同的短消息,如图1所示。但我们在使用过程中发现,用一个未绑定手机的用户可以进行短消息的连续发送,而接收方只能被动地接受这些短信。

  

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网