TGFC Lifestyle - Powered by Discuz! Board

标题: [其他] 終於明白胡主席為什麼要視察騰訊了！解析: 警惕 WebQQ2.0 的 Gmail 钓鱼 [打印本页]

作者: 总统先生 时间: 2010-9-14 20:49 标题: 終於明白胡主席為什麼要視察騰訊了！解析: 警惕 WebQQ2.0 的 Gmail 钓鱼

http://www.cnbeta.com/articles/121892.htm

WebQQ 2.0 上线，腾讯又多了款重量级的应用，但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。
展开这个页面的 iframe 地址，发现是在 qq.com 域下Gmail页面.但此页面的形式与 Google 的风格一致，非常能让用户混淆这就是 Google 自家的页面。

查看其源代码，发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js（https://web2.qq.com/cgi/gmail/gmail.js），发现其中有段代码为

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );

这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了，那么 GMAIL_SERVER_DOMAIN 的值是什么呢？就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是说，你的 Gmail 用户名和密码实际上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do

这个地址。

那么，作为个技术人，我不禁想问：“腾讯，你想干什么？！” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码，并检查 Gmail 过滤器中有无可疑的项目。

PS，这次的 WebQQ2.0 放弃了 YUI，使用了名为 Jet 的 JavaScript 框架，对其感兴趣的可以关注。

UPDATE

* 该 URL 在 Firefox 中也已被人举报为恶意网站
* 该 Gmail 应用已经被撤下，对应的 JS 文件也已被删除

本文来源：Gracecode

作者: diandian 时间: 2010-9-14 21:03

钓鱼的目的是什么？？

像我们这样的毫无隐私p民，就算是让他进去gmail看也无所谓，真正有隐私的gmail邮箱会让他去钓吗？？

作者: zhaolinjia 时间: 2010-9-14 21:05

posted by wap, platform: GoogleChrome

钓一个算一个

母猴喝一口茶

作者: aso 时间: 2010-9-14 21:06

“小马啊，你一定要坚定宪法顶个球的信念，把党需要的信息及时汇报给党啊……”

作者: beterhans 时间: 2010-9-14 21:39

引用:

原帖由 diandian 于 2010-9-14 21:03 发表
钓鱼的目的是什么？？

像我们这样的毫无隐私p民，就算是让他进去gmail看也无所谓，真正有隐私的gmail邮箱会让他去钓吗？？

应为 GOOGLE 不合作不给 TG 看:D :D :D

作者: 洛克狼 时间: 2010-9-14 22:09

posted by wap, platform: Nokia (E72)

完了，我的gmail已经绑定在qq上了

作者: pigudada 时间: 2010-9-15 03:23

posted by wap, platform: Nokia (E63)

我也邦了

作者: Callisto 时间: 2010-9-15 05:51

从2000到现在一直未用过QQ的路过
我不用QQ我自豪
马话儿疼你个屎逼你去死吧

作者: 电灯胆 时间: 2010-9-15 09:14

posted by wap, platform: iPhone

還好我討厭騰信產品沒去試

作者: 月の海 时间: 2010-9-15 09:19

昨天用了后马上改了密码但今天登陆的时候显示警告红条估计还要改一次密码

作者: iorilu 时间: 2010-9-15 09:28

posted by wap, platform: GoogleChrome

qq, 迅雷已经招安了

作者: HEIREN 时间: 2010-9-15 09:52

posted by wap, platform: BlackBerry

狗日的

作者: lawson 时间: 2010-9-15 10:15

posted by wap

这么做是为了**？缺德。

作者: 为何不分手 时间: 2010-9-15 11:12

是不是意味着互联网行业也要国进民退了

作者: Benthal 时间: 2010-9-15 11:15

从来不用qq，就只玩棋牌，看来要再换各地方了

作者: 阿弄 时间: 2010-9-15 11:28

我操麻花騰一萬次

作者: 阿毛 时间: 2010-9-15 11:49

沒辦法，我估計qq也是被逼的……

作者: qazqaz 时间: 2010-9-15 12:38

posted by wap, platform: HTC Dream

垃圾企业，早死早超生，对人类社会毫无贡献，就会做阴暗龌龊事

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)