关于360一个疑似安全隐患的想法和吐槽

kfd35

应该是在14号的时候，我给360的漏洞报告邮箱vulreport@360.cn写了封mail，后来10分钟后又补充了一封。现在没有消息。

邮件里面说的是关于DNS劫持后360插件的问题。因为360对“程序是不是自己的”有校验，所以当时我想到的最后一步在本地引诱，这个确实意义不大，一来不能自动实现，二来网页上也能做引诱不需要本地，既然是引诱就没边了。但是之后又想到有校验不是障碍，只要用一个静默安装包就行了，于是开始找静默安装包测试。不得不说奇虎360还是很有节操的，要是其他的，什么腾讯金山搜狐百度等，以我叱咤网络N年的经验，估计找到一个这些公司的静默安装包就2分钟的时间。找360的我特妈花了两个下午才找到两家正规厂商oem的360静默安装包。前天下午找到一个，结果发现太新，用不了。昨天晚上从360导航又找到一个，能用。

现在的方法和邮件里的方法99%是一样的。区别是能自动实现了。本地模拟后的效果是这样：在你所在的网络环境的DNS被劫持后，只要你一打开浏览器的网页（ie，360se,360chrome),任意指定.exe格式的木马2秒后就会下载到本地运行。

邮件里我说了，这个想法在我看了kafan一个求助帖后立刻就有了，方法参考wooyun（上面有一个是利用360升级机制的已修补的）。我觉得一般人开机后总要打开浏览器上上网吧，所以这个比起利用360升级机制也不会差太多。

本人不搞计算机，完全不会编程，更不懂DNS劫持或者其他劫持手段，就是用改hosts和拿工具自建本地服务器的方法模拟DNS劫持的，所以很可能测试是错误的。但是我在想，越是外行，错了越不怕丢人，就应该胡搞。万一蒙对了，丢人的就不是我了。

当初我发到360的邮箱，是想360的人不会只理专家，不会说 “看你是小白，说的很荒蛋很喜感很装13或者以前对你们大牛不尊敬或者喜欢什么事情都多嘴” 就不鸟你。

想想我以前发现的那些不会编程的人都能看出的各种无聊问题我都张着大嘴巴到处讨论了，这回我也算好心了，私下发邮件，就怕万一真有隐患怎么办。邮件就是抱着“请教”和“请求验证下”的目的去说的。哪个地方错了，你好歹告知错在哪嘛。。。

哎。。。

PS：有个录像，不知道该不该发出来让kafan的高手看下。就怕如果我是对的，有那么个安全隐患，泄露了要点怎么办。

帮我按住你妹

不得不说奇虎360是中国互联网巨头里面最干净的有骨气的公司，要是其他的，什么腾讯金山搜狐百度等，以我叱咤网络N年的经验，估计找到一个这些公司的静默安装包就2分钟的时间。找360的我特妈花了两个下午才找到两家正规厂商oem的360静默安装包。前天下午找到一个

kfd35

帮我按住你妹 发表于 2013-9-23 11:38

已经编辑了，这句确实太夸张了


我的意思是仅仅在安装源来说确实这样，不会像其他家出现欺骗或者木马式推广的。

tuw

@360客服

zouguan508

@淡淡玉
@360主动防御

晕，玉哥的居然没圈成功

360主动防御

私信发给我看看吧. 谢谢

kfd35

360主动防御 发表于 2013-9-23 16:31
私信发给我看看吧. 谢谢

发了

kfd35

360主动防御 发表于 2013-9-23 16:31
私信发给我看看吧. 谢谢

已发

461523855

360确实有胆识和勇气敢于提示拦截其他国内软件商的小动作，金山卫士和管家都是不停的放行放行~~

kfd35

解释不清楚了，还是明天放录像让大家判断下吧。。。