闲谈：乌云上那些 web-based 的 QQ 漏洞

0×00 起始

昨日凌晨，看到爱尖刀团队发布了一条“腾讯客户端XSS，已第一时间提交至TSRC”的微博，心想，腾讯又出此类漏洞了。今日，由于有一位名叫“阿布”的同学将该漏洞发布到了乌云，引来不少争吵甚至骂战。只想说，各位需冷静，争吵无意义！

其实，在QQ身上，这样危险的漏洞已经发生过不少，或许我们早已成为受害者，但是却毫不知情。与其争吵，我们还不如一起来掰一掰，乌云上那些类似的案例！当然，也许还有不少类似危险的漏洞在此间被安全研究人员直接报给了TSRC，我们也无法得知它们的数量、危害范围及对用户的实际影响了。

0×01 前置知识普及篇

在此，我们就不去普及“什么是cookies”了，大家只需要知道cookies是个很重要的东西，当它被黑客窃取后，就可以以你的身份来登录你的一些应用，譬如：邮箱、相册、微博等，进而查看你的邮件，或者是查看你的相片。Cookies被盗会发生什么，具体可见：蛋糕背后的大灰狼 – 你是互联网上的那只小白兔吗？ – PKAV 技术宅 – 知乎专栏，或是这篇，跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷）。

0×02 哪些地方曾经出现过问题呢？

场景1：QQ消息篇之临时会话

有没有想过这样一件恐怖的事情，有一天，你突然看到一个陌生人的QQ消息，接着你肆无忌惮地点开了，随后你的cookies就被黑客偷去了？这样的事情确实出现过！ 笔者自从看到这个漏洞，现在都不敢看陌生人的QQ消息了！

漏洞链接：微博上正在疯传的那个QQ客户端聊天就中的XSS（可登陆和控制他人账号）

场景2：QQ消息篇之生日礼物

是不是快过生日了？收到过QQ上的礼物卡片么？就是QQ消息突然在闪动下面这个图标的时候，你是不是很高兴的就点开了？

但是，你有没有想过，这个时候，你的cookies就被黑客偷取了？这样的事情确实出现过！笔者自从发现这个漏洞后，每次收到他人礼物的时候，都打开抓包软件，看看自己的cookies有没有被发送出去！

漏洞链接：QQ空间礼物功能XSS可以攻击任意指定QQ号码用户

场景3： QQ消息篇之听一首歌

不知道有多少人用过QQ的点歌功能或是听过别人在QQ上给你点的歌，有没有想过，当你点击【播放】的那一瞬间，你的clientkey（此处偷的是clientkey，比cookies得到的权限更大）就被黑客偷去了？这样的事情确实出现过！笔者自从知道这个漏洞后，都改用手机放歌了：“葫芦娃，葫芦娃，一根藤上七个瓜…”。

被窃取的clientkey：

漏洞链接：腾讯QQ某控件设计缺陷导致可远程登录任意QQ账号(已证明QQ空间、相册、微博、邮箱可登陆)

附加说明：此漏洞中所述利用方式，是利用IE来加载tencent://协议，实际上是可以直接在QQ聊天窗口通过点歌的方式来进行利用的，此外当时QQ客户端上的微博播放音乐也在此漏洞利用之列。

场景4: QQ消息篇之搜索一下

分享SOSO搜索结果的这个功能用的人不太多，但是该漏洞细节还是十分有意思的，有没有想过，点击聊天窗口里的一个链接，cookies就会被偷偷以QQ消息的形式发送给黑客？这样的事情确实出现过！

漏洞链接：腾讯QQ聊天框XSS

附加说明：漏洞详情中并未给出窃取cookies的演示，实际上该漏洞可以调用external中扩展的API，实现发送QQ消息的功能，因此可以将受害者的cookies以QQ消息的方式发回给黑客，比较有意思。

场景5: QQ消息之群视频篇

相信今天早上，也许已经有不少人被这个漏洞给弹到了。为了统一文字格式，我还是要说：有没有想过，有一天你打开一个QQ群，你的cookies就被黑客偷取了？这样的事情确实出现过！笔者今早也被alert了，瞬间感觉人不好了！

漏洞链接：网络尖刀安全团队研究发现QQ客户端存储XSS,可劫持用户！

漏洞链接：腾讯QQ群持久xss攻击（可执行js窃取cookie挂马等已经有人利用）

附加说明：两个链接为同一漏洞，前者先向TSRC报告，后漏洞流出，被发至乌云平台。

场景6: QQ右下角弹窗篇之消息轰炸

如果有一天，你的QQ一直弹出下来这样的消息，会不会有一丝丝蛋疼（女性除外）。

漏洞链接：腾讯QQ某处右下角信息提示无限弹窗

漏洞链接：利用QQ某活动给任意QQ弹右下角小窗口

附加说明：这些实际上，都还不够成“安全漏洞”。

场景7: QQ右下角弹窗篇之伪造弹窗

上面这个并不会影响到你的“人身安全”，但是这一个就不一样了。有没有想过，当你点开一条系统推送的消息时，消息内容是假的，连点开的链接都是假的？点开弹窗的消息后，cookies就被黑客偷取了！这样的事情确实出现过！ 自从笔者和团队成员发现这个漏洞后，都不敢点开这个东东了！

漏洞链接：当 |XSS蠕虫| 与 |QQ系统消息推送

场景8： QQ右下角弹窗篇之索要服务

QQ某些自带的服务，也是会发送一个右下角弹窗的，比如找好友索要QQ会员服务。有没有想过，有一天你点开了好友的索要请求，就自动帮对方支付了3个月的QQ会员？当然，你的cookies也会被对方窃取过去。这样的事情确实出现过！自从笔者看到这个漏洞后，慎点，慎点！

漏洞链接：腾讯向好友索要功能xss+疑似SQL注射。

场景9：QQ右下角弹窗篇之其它服务

由于类似于以上的弹窗业务场景，还有比较多，这里我就不一一列举了，例如：QQ邮箱收到新邮件，你的日志有新的评论。这些都会有如上类似的风险。

漏洞链接：搜索结果 | WooYun.org

漏洞链接：搜索结果 | WooYun.org

场景10：QQ其它功能篇之手机生活

嗯，没事别点别人QQ资料，特别对方是一个脚本小子的时候！

漏洞链接：PKAV腾讯专场

场景11：QQ其它功能篇之好友照片

恩，没事不要偷看好友更新的照片哦，特别是你好友里有黑客的时候！

漏洞链接：QQ客户端某功能存储型xss

漏洞链接：QQ空间存储xss漏洞一枚可打到cookie

附加说明：以上漏洞为同一漏洞，两人先后报告

场景12： QQ其它功能篇之聊天记录

嗯，没事不要翻聊天记录，翻着翻着，你的cookies就被偷去了！

漏洞链接：腾讯QQ漫游记录存储型XSS漏洞

0×03 如何防？

恩，感觉有些漏洞防不胜防。 虽然笔者自己也找过不少类似漏洞，平时也很注意防范此类问题，但是今天早上依然被弹了。所以，一方面是厂商修复、改进；另外一方面，需要我们自己尽量去避免此类攻击。怎么避免呢？想了想，对于普通用户来说，三个字，“少乱点”！

来自知乎：http://zhuanlan.zhihu.com/wooyun/19775419