QQ好友把我拉黑了 他设置的是拒绝被添加 我加不上他 咋办? 谁能帮我?
}
1. QQ业务太广,钓鱼钓密码可以在其他业务上,这个密码一般情况下就可以登入QQ,除非目标在某特殊业务上设置了独立密码。这就是所谓的水桶原理;
2. 通过jsonp隐私接口获取目标的一些隐私,比如与好友的对话内容,好友列表等。威力决定于这个jsonp接口;
3. QQ客户端2009年开始就使用了HTML,我们在这发现了几个XSS,还有同学发现过命令执行,黑起人来真优雅;
4. QQ任意子域的XSS拿到的Cookies远比你想像得可怕,比如已被爆的“进入QQ空间”,里面可以看到好友列表等隐私。还有没被爆的猛料。想想任意子域XSS是不是很容易挖到?要黑你是不是就很优雅了?
6. 如果碰到千载难逢的浏览器跨域缺陷,那更不用说了,这类技巧不算数不算数……
7. QQ好多浏览器扩展或插件哦,如果可以X,你想想;
8. QQ整个大业务多少有些逻辑缺陷,比如被爆通过好友辅助申述+社工结合黑掉目标QQ;
9. 别忘了移动客户端也是个脆弱入口,谁审计谁知道,QQ在移动客户端的APP真多;
10. 移动客户端由于屏幕的限制做钓鱼攻击某些情况下会更屌;
11. 记住这个:QQ业务非常多,基本都是围绕QQ客户端,为了业务的便捷性,会开放出一些读写接口供其他业务使用(包括会话接口),如果这些接口被恶意利用,那将会很优雅。
}