警惕:盗取QQ之七招八式揭密(中)

日期：2008年3月13日作者：查看:[大字体中字体小字体]

　　图5

　　没有登陆过的QQ会显示为“还没送上门，别急！”此外，登陆你的远程邮箱也能收到被“掠夺”的QQ帐号和密码！

　　这样，只要让你的好友在你的机器上登陆一次他的QQ或者在你的好友机器上安装并简单设置以上软件，那么你的好友便“在劫难逃”了！
三层交换技术交换机与路由器密码恢复交换机的选购路由器设置专题路由故障处理手册数字化校园网解决方案

　　三、利用QQ2004漏洞攻击“好友”

　　2004年9月20日，QQ2004 正式版SP1“新鲜出炉”，在这一版本中，加入了更多的新功能，如优化了网络硬盘的显示刷新速度、优化了自定义表情的传送逻辑、优化了小秘书功能的逻辑等。但这是否意味着这一国内最为强大的即时通讯软件在功能强大的同时也非常安全了呢？事实上，QQ2004 正式版SP1并非“坚不可摧”，也存在一些安全漏洞，下面就看看如何利用腾讯QQ漏洞攻击“好友”！

　　1．利用“自定义面板”漏洞

　　QQ的自定义面板服务是QQ2004正式版的一种免费功能，利用它可以让网友自由定制喜欢的网页作为QQ面板，但是享受“免费午餐”的同时小心是要付出代价的！

　　经过一番研究和准备，终于可以下手了：首先我“煞费苦心”地找了一个有非常精美的FLASH网页（其实是一个具有恶意脚本的网页，运行后能导致窗口越开越多，警告框一个接一个地出现，严重地消耗他的系统资源），然后告诉一个“Q友”：QQ2004正式版能自定义面板，只要单击QQ面板上的“用户自定义面板”按钮，然后选择“收藏→设置”，就能设置我们喜爱的网站作为面板。如图6：

　　

　　图6

　　朋友一听，来劲了，“那让我也来试试，当一把追‘新’族”，我一看，有戏了，于是“顺手推舟”地做了一把“好人”，说道：“行啊，我这儿正好有一个非常漂亮的FLASH网页，我刚才还用了呢，你试试吧……”！下面就等着好戏上演啦……

　　果然，一会儿“Q友”的头像变灰了，还不知道什么原因？呵呵，系统资源耗尽，只好重新启动机器了^-^。

　　这还不算，如果想玩更狠的，呵呵，找个包含格式化硬盘的代码的网页吧，或者将你写的病毒程序发到网页上，这时你就知道“入侵”别人的“乐趣”了，当然你的“Q友”就知道什么叫“欲哭无泪”了！

　　特别警示：由于恶意网页可以是任何可执行脚本的Html网页，因此如果设置了恶意网页为面板时，其情形就像浏览器“中招”一样，轻则被修改系统，重则被格式化硬盘。电击恶意网页后，在IE浏览器里面还可以使用“Ctrl+Enter“阻止弹出警告框的页面，在QQ面板里没有给予很好的支持，导致窗口越开越多，警告框一个接一个地出现，严重地消耗了系统的资源。

　　应对策略：网页中的恶意代码常常令人防不胜防，建议那些主要使用QQ聊天的用户不要使用该功能，更不要轻易接受“Q友”发给你网址，说不定鲜花的背后就是“定时炸弹”。对那些比较有经验而又想赶上潮流的朋友，在添加自定义面板之前，必须先确保该网页是安全可靠的，否则后果将不堪设想！

　　2．利用腾讯“短讯通”进行短信轰炸

　　短信作为现今各大营运商的重要赢利工具，它的新功能不断地被发掘出来。当然腾讯也不会放过这个好机会。在QQ2004正式版中，QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。我们正是利用了这一点，才得以实现对已绑定手机的QQ用户进行“短信轰炸”。

　　这一“轰炸”实施起来比较简单，不需要鲜花美女的诱惑，只要你的好友绑定了手机，那他就“在劫难逃”，首先用鼠标左键点击你要“轰炸”的朋友，从弹出的菜单中选择“手机短信通”，然后从弹出的“手机短讯通”界面中选择短信类别，然后点击“发送”即可。如图7：

　　

　　图7

　　使用QQ的短讯通功能可以向好友发送不同的短消息，用一个未绑定手机的用户可以进行短消息的连续发送，而接收方只能被动地接受这些短信。在很短的时间内发送N多条信息给“Q友”，现在就等着他的手机被“炸爆”吧！现在想象“好友”的手机不间断地响起接收短信的音乐，他只好一边删除一边接收新的信息，让他忙得“不亦乐乎”！

　　特别警示：这种密集型的手机短消息发送，作为被动接收的一方，可以在短时间内被短消息批量攻击而无还手之力，严重地影响了手机用户正常的生活和工作，相信大部分用户都“恨之入骨”。然而，腾讯并没有对短消息的发送进行一些必要的设置和防御，比如说在1分钟之内不得发送多少条信息，或者限制QQ用户每个小时的短信息发送量，以减轻短消息轰炸手机的可能性。因此，这一“漏洞”肯定会被一些“别有用心之徒”所利用！

　　应对策略：要彻底避免这一“轰炸”，唯一的办法就是取消手机绑定，取消手机服务，但同时也失去了一个功能：再也不能接收到朋友从QQ上给我们发送的“货真价实”的短消息了。

　　腾讯提供了一个可以拒绝QQ发送短消息给手机的功能：分项取消服务指令“0000”：如你想取消手机定制的单项包月服务，可编辑短信“0000”发送到“1700”，过一会儿你的手机将会收到以下短消息：

　　1．“回复QX＋序号，取消所订购的包月服务：0 所有订制包月服务；1 第一项服务(你开通的包月业务名称)；2 第二项服务(你开通的包月业务名称)。

　　2．如果你想取消移动聊天(161)包月服务，请编辑短信00000发送至161取消服务。

　　3．如果你想取消WAP服务中的QQ聊天包月服务，请用手机WAP功能登录梦网首页取消包月服务。

　　此外，还有一招“必杀技”：即一步退订所有服务指令“00000”：如果想取消手机所定制的所有包月服务，可编辑短信“00000”发到“1700”，你的手机将会收到以下短信息：

　　“你已取消由腾讯公司提供的所有包月服务，从下月起不再收费，腾讯客服电话：0755－83765566”。
三层交换技术交换机与路由器密码恢复交换机的选购路由器设置专题路由故障处理手册数字化校园网解决方案

　　四、“QQ密码保护”也作祟
上一页 [1] [2] [3] 下一页
警惕:盗取QQ之七招八式揭密(中) 相关文章：