转载-------警惕 WebQQ2.0 的 Gmail 钓鱼

显示全部楼层 · 发表于 2010-9-14 15:05:11

本帖最后由 zhangzhongwu 于 2010.9.14 15:09 编辑

WebQQ 2.0 上线，腾讯又多了款重量级的应用，但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。
展开这个页面的 iframe 地址，发现是在 qq.com 域下https://web2.qq.com/cgi/gmail/gmail.html
但页面的形式与 Google 的风格一致，非常能让用户混淆这就是 Google 自家的页面。

查看其源代码，发现并没有提交到 Google 的痕迹。

然后我们查看其相关的 gmail.js（https://web2.qq.com/cgi/gmail/gmail.js），发现其中有段代码为

var option = {retype:3,callback:"parent.qqweb.app.gmail.getListMail"}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + "cgi/qqweb/gmail.do",{method : "POST", data : option} );

这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了，那么 GMAIL_SERVER_DOMAIN 的值是什么呢？就在本文件的第 14 行

var GMAIL_SERVER_DOMAIN = 'https://web2.qq.com/';

也就是说，你的 Gmail 用户名和密码实际上是提交到了

https://web2.qq.com/cgi/qqweb/gmail.do这个地址。

那么，不禁想问：“腾讯，你想干什么？！” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码，并检查 Gmail 过滤器中有无可疑的项目。

PS，这次的 WebQQ2.0 放弃了 YUI，使用了名为 Jet 的 JavaScript 框架，对其感兴趣的可以关注。

显示全部楼层 · 发表于 2010-9-14 18:19:43

关注中。

显示全部楼层 · 发表于 2010-9-14 18:35:57

好一个流氓

显示全部楼层 · 发表于 2010-9-14 20:37:47

好无耻

显示全部楼层 · 发表于 2010-9-19 11:11:54

火狐下拦截了的

显示全部楼层 · 发表于 2010-9-19 11:49:56

无耻之极

[转载] 转载-------警惕 WebQQ2.0 的 Gmail 钓鱼