当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025029

漏洞标题:绕过qq安全管家对危险网址的检测

相关厂商:腾讯

漏洞作者: piaoye

提交时间:2013-06-02 19:26

修复时间:2013-07-17 19:27

公开时间:2013-07-17 19:27

漏洞类型:内容安全

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-02: 细节已通知厂商并且等待厂商处理中
2013-06-04: 厂商已经确认,细节仅向厂商公开
2013-06-14: 细节向核心白帽子及相关领域专家公开
2013-06-24: 细节向普通白帽子公开
2013-07-04: 细节向实习白帽子公开
2013-07-17: 细节向公众公开

简要描述:

安全联盟那些厂商也一样

详细说明:

QQ客户端对用户发送的网址进行不严谨的检测可进行ip验证逃过检查。
具体方法:
1、探测QQ网址检测ip,这里通过在QQ上发送url/1.asp,文件内代码:

x=request.servervariables("SERVER_NAME")
ip=Request.ServerVariables("REMOTE_ADDR")
url=request.servervariables("HTTP_REFERER")
SaveFile="x.txt" 
GetPostStr=ip&"|"&url&"|"&x
set F=server.CreateObject("scripting.filesystemobject")   
set I=F.OpenTextFile(server.mappath(SaveFile),8,True,0)   
I.WriteLine(GetPostStr)   
I.close   
Set F=nothing


发送url/1.asp 后,qq安全检测会启动,对用户发送的网址进行检测,这里会留下ip等信息,我们记录ip即可,然后发送url/2.asp、3.asp... 原因是qq对一个完整的url检测后悔有个最终结果,等再发送就不检测(至少一时半会不会再扫描这个网址)。
2、收集足够的ip后(163.177.69.*、112.90.78.*、14.17.18.*...),对网站进行改造,if ip=收集的ip时 then 输入特定的内容来逃过检测 end if,比如一些非法网站针对以上ip输出正常的内容。
3、对于不幸已经被检测为危险网址的,可以对网站全局进行ip判断,然后去http://www.anquan.org/seccenter/appeal_verify/ 申请解封。。当然,前提是你收集了足够的ip等信息。
4、解封完成,继续经营发送危险网站!

漏洞证明:

QQ截图20130602192252.jpg


这个情况应该有人在用了吧。

修复方案:

我还没好的方案。

版权声明:转载请注明来源 piaoye@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2013-06-04 11:16

厂商回复:

漏洞已经知晓,正在确定应对策略,非常感谢您的反馈。

最新状态:

暂无