QQMail邮件泄露漏洞

最新推荐文章于 2024-09-14 10:24:09 发布
最新推荐文章于 2024-09-14 10:24:09 发布
阅读量284 收藏
点赞数
文章标签: web安全 安全 hack 网络安全 wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124137342
版权

漏洞详情

披露状态:

2010-07-19: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-18: 细节向公众公开

简要描述:

QQMail在一些设计上存在问题,恶意攻击者可以引诱用户打开一个链接,从而直接获得用户的QQMail内的邮件,在微薄上利用短网址将使这种攻击会非常有效,建议不要轻易点击网址

详细说明:

http://mail.qq.com/cgi-bin/login?fun=passport&target=MLIST&t=login.js&pagesize=10&resp_charset=UTF8
js-hijack可以取得返回的url,然后进一步可以获取邮件内容
http://m138.mail.qq.com/cgi-bin/mail_list?flag=new&s=unread&folderid=8&folderid=1&folderid=3&folderid=user&fun=slock&sid=KCSRLFNrsbsbsbsCR9TjJR1djyz&pagesize=10&resp_charset=UTF8&t=mail_list.js
同样是js-hijacking

Sword-heart
关注
QQ邮箱反射型xss漏洞
Coisini的博客
06-13 3008
……,对,我印象中写过了,刚才因为需要要用,搜索了一下,是空的,嘶嘶嘶~可怕~ 起因 甲方“一个人的安全部”的时候,一个研发的同事在设计一项报表功能时,因为受到邮箱的安全限制无法很好的实现,于是将情况反馈给我。说实话,我对浏览器的安全也不太了解,案头的书翻了几页就没再动过,于是对比了腾讯邮箱的做法,发现了这个xss。 背景 公司使用coremail搭建企业邮箱,开发做了一个通过邮件发送h...
腾讯再爆跨站漏洞(QQ邮箱自助服务)
07-13
qqkuazhan20070713.rar 利用前后源码页面
QQ邮箱有漏洞
diantoujue2449的博客
10-02 430
今天我用QQ邮箱发了一封邮件, 随便用Fiddler软件偷窥了一下相关的数据包, 结果发现邮件内容倒是没泄露, 但邮件处理页面上的联系人信息在Fiddler里是一览无余, 以后再也不敢用QQ邮箱了! 转载于:https://www.cnblogs.com/king3/archive/2012/03/06/2381642.html...
腾讯QQ邮箱漏洞--修改封包欺骗邮件服务器
aftear的专栏
09-21 2290
腾讯邮件服务器对邮件的发送时间未做效验导致发件人可以对发送数据包截取然后修改,达到欺骗欺诈的严重后果。     如果此此漏洞被一些助考机构利用,那将是非常严重的后果,网上貌似报道过此类诈骗成功的例子,不知道为什么腾讯的邮件服务器到目前还没修复。    漏洞证明      抓包获得的时间戳   http://www.wooyun.org/bugs/wooyun-2010-01
Json hijacking/Json劫持漏洞
chuancuili8770的博客
01-16 283
0x00 相关背景介绍 JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd ...
JSON劫持漏洞攻防原理及演练
hanqing
01-11 2227
注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,下面介绍的是对这种攻击原理的介绍。   不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种
Web漏洞挖掘(一)登录认证模块的暴力破解实例
wuqi5700的博客
07-26 4410
Web漏洞挖掘(一)登录认证模块的暴力破解实例暴力破解的定义暴力破解的分类暴力破解的威胁涉及的基础知识模块相关硬件(高速GPU推荐)基于Burp Suite的暴力破解实例 暴力破解的定义 暴力破解测试是指针对应用系统用户登录账号与密码进行的枚举测试,针对账号或密码进行逐一对比,直到找到正确的账号与密码。 暴力破解的分类 已知账号的情况 :加载密码字典针对密码进行枚举测试; 未知账号的情况 :加载账号字典,配合着密码字典进行枚举测试; 未知账号和密码的情况:利用两个账号字典与密码字典进行枚举测试; 暴力破
电子邮件介绍
顺其自然~专栏
04-19 6961
电子邮件(Electronic Mail,缩写E-Mail或email)是一种用电子手段提供信息交换的,是互联网应用最广的服务。通过网络的,用户可以以非常低廉的价格(不管发送到哪里,都只需负担网费)、非常快速的方式(几秒钟之内可以发送到世界上任何指定的目的地),与世界上任何一个角落的联系。电子邮件可以是文字、图像、声音等多种形式。同时,用户可以得到大量免费的新闻、专题邮件,并轻松实现轻松的信息搜索。电子邮件的存在极大地方便了人与人之间的沟通与交流,促进了社会的发展。
Pony对QQMail邮件摘录,
10-13
【Pony对QQMail邮件摘录】展示了腾讯创始人Pony对QQMail产品设计的深入参与和独到见解。在邮件摘录中,Pony强调了几个关键的设计原则和产品理念,这些对于理解和构建优秀用户体验至关重要。 首先,Pony提倡的是...
QQMAIL.rar_qqmail_site:www.pudn.com
09-19
总的来说,"QQMAIL.rar_qqmail_site:www.pudn.com"是一个关于使用POP3协议统计QQ邮箱邮件数量的学习资源,它将帮助开发者更好地理解和实践电子邮件系统的客户端实现。通过分析和学习这个压缩包中的内容,不仅可以...
自动下载-QQMail-附加:Python +Selenium+ Chrome模拟登陆QQ邮箱,批量下载附件,本地重命名
02-26
支持Mac和Windows系统 批量下载QQ邮箱附件,下载完后修改文件重命名 因为工作原因,需要处理QQ邮箱上来自各地网友的投稿附件。数量比较多(上千份),如果手动一个下载非常麻烦。。。 而且有些发来的附件命名也不...
QQmail插件
05-11
QQmail插件
QQmail.rar_模仿qq邮箱
09-23
QQmail.rar项目中,开发者使用PHP来处理用户请求,如登录验证、邮件收发等。理解PHP的基础语法、变量、控制结构、函数、类和对象是必要的。 2. **Web框架**:虽然描述中没有明确提及使用了特定的PHP框架,但模仿...
手机邮件打开一个html会中木马,小心,QQ邮件中的木马!
weixin_32736961的博客
06-24 1697
小心,QQ邮件中的木马!文/图冰河洗剑最近,笔者的QQ邮箱中经常收到一些莫名其妙的邮件和贺卡,让你看一段视频了什么的,这只是垃圾邮件吗?每次笔者看到这些邮件,都毫不犹豫的将其删除,绝对不打开查看——因为,这些看似无关紧要的邮件中,很可能就夹带着木马!一、QQ邮箱漏洞与木马传播在新版的QQ邮箱中,存在着一个很严重的挂马漏洞,恶意攻击者可以在邮件中输入恶意代码,让其它用户中招后台下载运行木马。与一般...
web安全:QQ号快速登录漏洞及被盗原理
热门推荐
词语大杂烩
09-06 1万+
为什么你什么都没干,但QQ空间中却发了很多小广告?也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的漏洞。 我前阵子在论坛上看到一个QQ的快速登录的漏洞,觉得非常不错,所以把部分原文给转到园子来。 而利用这个漏洞最终可以实现,只要你点击一个页面或运行过一个程序,那么我就可以拥有你的登录权限。可以直接进你邮箱,进你微云,进你QQ空间等....   看懂本篇需要一点点we
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2215
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全漏洞挖掘
anquan2233的博客
08-29 1931
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
No module named 'qqmail'
09-06
The error message "No module named 'qqmail'" indicates that the module 'qqmail' is not installed in your Python environment. To resolve this issue, you need to install the 'qqmail' module. You can install the 'qqmail' module using pip, the package installer for Python. Open your terminal or command prompt and execute the following command: ``` pip install qqmail ``` Make sure you have pip installed and it is up to date. If you encounter any permission issues, you may need to run the command with administrative privileges (e.g., using `sudo` on Linux/macOS or running the command prompt as administrator on Windows). After successfully installing the 'qqmail' module, you should be able to import it in your Python script without encountering the "No module named 'qqmail'" error.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值