QQ空間官方帳號被黑產利用漏洞分析

原文地址：mozhe.cn/news/detail…

2011年，Facebook推出了默認人臉識別功能實現自動識別圈人功能，2013年，Instagram推出名稱爲「你的照片」的圈人功能。基本都是用戶利用這個功能在照片中圈出好友，並經過標籤直接找到該好友的全部照片。圈人可讓照片成爲找人的最佳途徑。

在2013年，QQ空間也推出了圈人功能，在他人對空間說說中，找到要圈人的照片，圈出照片中的好友，從中選擇本身相對應的好友就能夠。這個實際上是個不錯的功能，藉助他人能夠了解到更多信息。拿個簡單的圖表示下：

從2015年開始，網絡就有人說這個功能被人惡意拿來打廣告。並給出了具體的方法。

官方一直未修補（可能官方以爲這個是個正常功能，就是這樣設計的），這個地方問題就出在了被圈出人顯示的QQ暱稱。這些作灰色產業遊走在法律邊緣的人，大腦真的是很聰明，就把這個地方作爲一個商機，來打廣告了。

2018年6月8日，QQ空間官方帳號發佈「微視」小電影廣告，正文部分是正常的騰訊微視廣告，推薦了微視的「紅人計劃」。然而問題在於，這條動態下方被惡意圈出的人名單，附帶了大量名稱不可描述的連接。

其實官方帳號並未被盜用，只是被人惡意利用了圈人的功能了而已，把開始的圖給重現一下：

當天下午，官方作出了迴應，表示該問題是因黑產利用了業務邏輯漏洞所致。同時官方對此表示了歉意，並稱該問題已經被修復。

提及來業務邏輯漏洞，實際上是業務系統的一種設計缺陷，這種漏洞在真實的業務場景裏面，多數可能用掃描器是沒法發現的（除非是個超智能的人工智能掃描器），不然只能人工測試，常見的有密碼找回、越權、順序執行等問題。經過更改數據包中的ID值，來獲取他人的敏感信息，如網銀中的相似問題，修改數據包中的銀行卡卡號，能夠返回相對應銀行卡的註冊信息等內容。運營商的相似問題是修改數據包中的他人的手機號碼，能夠返回他人的手機號註冊信息等內容，這些都是業務邏輯漏洞。

墨者學院靶場環境中，有2個跟業務邏輯漏洞相關的靶場環境，不妨來試試，深刻了解一下漏洞的造成原理：

身份認證失效漏洞實戰：mozhe.cn/bug/detail/…

登陸密碼重置漏洞分析溯源：mozhe.cn/bug/detail/…

（注：以上涉及到的日期時間，均經過公開搜索引擎得到，可能與真實時間有出入。）