当前位置&&&&&&&&&QQ 2003III安全问题大揭秘
更多文章查询：&
QQ 2003III安全问题大揭秘
&&&&&&&日11：15&&来源：&&
【文章摘要】QQ作为国内最为强大的即时通讯软件，其庞大的用户群一直左右着即时通讯软件的发展，在其2003Ⅲ正式版中又再加入了更多的新功能，但不幸的是，QQ的安全问题也随着它功能的增强而增加，QQ的安全性是我们必需要重视的问题。
　　非常规下载－共享文件夹安全问题　　首先我们先看看腾讯QQ最新开通的共享文件夹服务，该服务可以让我们自定义一个或多个文件夹，开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”，即可打开共享文件夹。　　安全问题描述　　为了更好地描述这个安全问题，让我们先做个实验：假设A君开设了一个名为QQBug的共享文件夹，而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现，如果B君在下载文件的过程中，A君突然将共享文件夹改为“取消共享”的话，按理说B君应该下载不了那些共享文件了，但事实恰恰相反：B君在不刷新该共享目录时，仍然可以不紧不慢地下载他所需要的文件，甚至在B君刷新了A君的共享文件夹列表后，该文件也可以照样传输！当这个情况让A君发现后，A君却无法对B君进行任何有关阻止下载的操作，因为QQ根本没有提供这样的菜单让用户选择。　　安全问题分析　　QQ的共享文件夹功能存在的设计隐患，可让对方用户下载其他用户已经取消共享的文件，从而导致了共享方的损失，这个安全问题带来的后果是比较严重的：有经验的用户或黑客，可以从这个安全问题里分析出更多有用的信息，令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本，针对这个Bug做出修订。　　解决办法　　由于共享文件夹的缺陷，普通用户只能采取断线、退出QQ等方法制止对方继续下载。　　特别提示　　由于共享文件夹相当于一个基本的P2P软件，因此文件夹里可能有木马等病毒，对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。windows 2003系统目前最完善最完美的安全权限方案_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
windows 2003系统目前最完善最完美的安全权限方案
上传于||文档简介
&&最​完​美​的​安​全​权​限​方​案
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩24页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢上周信息安全动态回顾[--13]
综述：互联网诞生那天，病毒、黑客就尾随而至，直到今天，维护自己的信息安全已经成为我们的一种习惯。上周：反病毒监测网截获&QQ木马&变种，该病毒盗取用户的QQ密码，泄密，并浪费大量硬盘空间。微软连续发布3个安全公告，Win Server2003***代码的泄漏可能导致大量盗版。Samba也出现安全漏洞严重危害Linux服务器。
上周(日-4月13日)信息安全动态回顾：
【病毒视点】
防毒警报：QQ木马变种 查看分区就感染
　　日，截获&QQ木马&病毒的一个最新变种，并将之命名为：&QQ木马变种(Trojan.QQpass7)&。该病毒除了盗取用户的QQ密码外，还能与外部黑客程序沟通，导致用户计算机的信息被泄密。最重要的是该病毒会在硬盘上的所有文件夹中都拷贝一份病毒复本，浪费大量硬盘空间。 &&详情
日本IPA警告：文件共享可能成为病毒攻击目标
　　日本信息处理振兴业务协会安全性中心（IPA/ISEC）于4月3日公布了3月份收到的病毒报告统计。该中心共收到声称由于恶意利用Windows文件共享服务的“Opaserv”、“Deloder”以及“爱情之门（Lovgate）”等的病毒（蠕虫）报告数增加，因此恶意利用文件共享功能已成为病毒发展“趋势”。
【漏洞聚焦】
Win Server2003***代码泄漏 导致大量盗版
　　微软的Windows Server 2003还未发行，其一个关键性***代码已经在网上泄漏，这一事件将有可能引发大规模的盗版行为。分析人士称，外泄代码的使用可以分为两个步骤，第一是用于软件***，第二步则是通过互联网与微软一起正式激活使用软件，正是这第二个步骤可能会为微软带来麻烦。
Samba再现安全漏洞 黑客可危害Linux服务器
　　Digital Defense公司在开放源代码集团广泛用于在Unix和Linux系统之间共享Windows文件的程序中发现了重大的安全漏洞。该安全漏洞使黑客可以轻松地对任何一台连接到互联网中的Samba服务器造成威胁。
微软连发3个安全公告 称黑客可能控制用户PC
这三个安全缺陷包括微软公司的在Windows上运行Java applet的Java虚拟机、Windows 2000和Windows NT的一个组件中的跨站点脚本缺陷以及影响Proxy Server 2.0和ISA Server的拒绝服务攻击(DoS)。包括这三个安全公告在内，微软公司今年已经发布了12个安全公告。
【黑客故事】
遏制网络犯罪和恐怖主义 FBI窥视全球因特网
　　通过互联网打***给***窃听技术注入了全新的意义。如何防止网络成为罪犯和恐怖主义者的天堂成为摆在FBI面前的新的法律和技术难题。但是，个人隐私权支持者担心这样的在线偷听回由于目前技术的不成熟可能令到用户泄露的不只是语音数据流，其他的如电子邮件等数字通讯内容也会同时受到侵犯。
【特别提醒】
安全事件有增无减 全球网管将面临重大挑战
　　网络安全公司互联网安全系统发布的一份报告称，2003年第一季度所发现的安全事件比之前三个月增长了近84%。安全事件的颇繁发生主要是由于蠕虫和自动攻击软件数量的增加而造成的。“邮件发送数量的大幅度增加，高持久蠕虫的存在以及各种安全事件表明，今年全球安全执行官和管理员们都将面临巨大的挑战。”
病毒攻击形式渐趋混合性 呼唤安全方案集成化
　　病毒、黑客、互联网似乎是孪生兄妹。目前，病毒、黑客已成为互联网最突出的隐患之一。信息化社会要求安全的网络信息传输，面对病毒、黑客进行的混合攻击，优化的信息安全解决方案已经迫在眉睫。
顶一下(0) 踩一下(0)
热门标签：【图文】windows_server_2003组策略与安全配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
windows_server_2003组策略与安全配置
上传于||暂无简介
大小：1.06MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢最新腾讯QQ 2003 Ⅲ 正式版安全问题大揭露
最新腾讯QQ 2003 Ⅲ 正式版安全问题大揭露
&&&&QQ作为国内最为强大的即时通讯软件，其庞大的用户群一直左右着IM软件的发展，在其2003Ⅲ正式版中又再加入了更多的新功能，如视频/语音聊天、共享文件服务、腾讯手机短讯通等。但不幸的是，QQ的安全问题也随着它功能的增强而增加，这对于偶尔使用QQ的用户影响不大，但对那些已经将QQ作为日常生活中不可分割的一部分的网民来说，QQ的安全性是他们必需要重视的问题。在本文中，我们就一起来剖析3月5日发布的QQ 2003Ⅲ 正式版存在的安全隐患，希望腾讯能及时堵住这些安全漏洞，网民们在使用QQ 2003Ⅲ 正式版时，请根据本文的介绍做好自我防护！&&&&非常规下载--共享文件夹安全问题&&&&首先我们先看看腾讯QQ最新开通的共享文件夹服务，该服务可以让我们自定义一个或多个文件夹，开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”，即可打开共享文件夹。&&&&安全问题描述：为了更好地描述这个安全问题，让我们先做个实验：假设A君开设了一个名为QQBug的共享文件夹，而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现，如果B君在下载文件的过程中，A君突然将共享文件夹改为“取消共享”的话，按理说B君应该下载不了那些共享文件了，但事实恰恰相反：B君在不刷新该共享目录时，仍然可以不紧不慢地下载他所需要的文件，甚至在B君刷新了A君的共享文件夹列表后，该文件也可以照样传输！当这个情况让A君发现后，A君却无法对B君进行任何有关阻止下载的操作，因为QQ根本没有提供这样的菜单让用户选择。&&&&安全问题分析：QQ的共享文件夹功能存在的设计隐患，可让对方用户下载其他用户已经取消共享的文件，从而导致了共享方的损失，这个安全问题带来的后果是比较严重的：有经验的用户或黑客，可以从这个安全问题里分析出更多有用的信息，令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本，针对这个Bug做出修订。&&&&解决办法：由于共享文件夹的缺陷，普通用户只能采取断线、退出QQ等方法制止对方继续下载。&&&&特别提示：由于共享文件夹相当于一个基本的P2P软件，因此文件夹里可能有木马等病毒，对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。&&&&恶意代码横行--自定义面板安全问题&&&&QQ的自定义面板服务可以让网友自由定制喜欢的网页作为面板，作为QQ的免费功能，它与共享文件夹一样存在着不容忽视的安全隐患。&&&&安全问题描述：单击QQ面板上的“收藏→设置”，就能设置我们喜爱的网站作为面板，但安全问题也因此而起：由于这些页面可以是任何可执行脚本的HTML网页，因此当我们设置了一些具有恶意脚本的网页时，其情形就像浏览器“中招”一样，轻则被修改系统，重则被格式化硬盘。别以为我在吓唬你，在测试这个功能的时候我们选用了一些能不断打开新窗口的网页，还有一些包含恶意脚本的页面，结果发现有些在IE浏览器里面可以使用Ctrl+Enter阻止弹出警告框的页面，在QQ面板里没有给予很好的支持，导致窗口越开越多，警告框一个接一个地出现，严重地消耗了系统的资源。因此，如果网页包含的是不再是弹出窗口而是格式化硬盘的代码的话……&&&&安全问题分析：QQ面板很高的自由度令恶意代码和网页有可乘之机。在现在这个网络病毒泛滥的时代，如果这种问题未在进一步扩大化前进行修订的话，不怀好意的人甚至可以利用这个问题广泛传播病毒。&&&&解决办法：网页中的恶意代码常常令人防不胜防，建议那些主要使用QQ聊天的用户不要使用该功能。而对那些比较有经验的朋友，建议你们在添加自定义面板时，先确认该网页没有安全问题。&&&&短信轰炸的帮凶--腾讯短讯通安全问题&&&&短信作为现今各大营运商的重要赢利工具，它的新功能不断地被发掘出来。现在，QQ用户可以向已绑定手机的朋友发送短消息、铃声和图片。&&&&安全问题描述：QQ的短讯通功能可以向好友发送不同的短消息，如图1所示。但我们在使用过程中发现，用一个未绑定手机的用户可以进行短消息的连续发送，而接收方只能被动地接受这些短信。
图1 腾讯短讯通操作界面&&&&我们为此做了一个比较残酷的实验：用QQ短讯通的发关短信祝福语功能，在3分钟内发送了超过30条短信给绑定手机的用户，该手机先断断续续地收到几条短信，但在过了3~4分钟后，手机突然不间断地响起接收短信的音乐。拿起手机一看，刚才我们用短讯通发的消息全部都一股脑儿地接收到了，只好一边删除一边接收新的信息。&&&&安全问题分析：这种密集型的手机短消息发送，就是最近讨论得很激烈的手机被轰炸的问题。而我们也从这个实验中看到，作为被动接收的一方，可以在短时间内被短消息批量攻击而无还手之力，严重地影响了手机用户正常的生活和工作，相信大部分用户都不会喜欢。&&&&短讯通作为QQ重点推介功能，我们觉得腾讯应该对短消息的发送进行高级一点的设置和防御，比如说在1分钟之内不得发送相同内容的信息多少条，或者限制QQ用户每个小时的短信息发送量，以减轻短消息轰炸手机的可能性。&&&&解决办法：腾讯公司提供了一个可以拒绝QQ发送短消息给手机的功能——分项取消服务指令“0000”：如你想取消手机定制的单项包月服务，可编辑短信“0000”发送到“1700”，过一会儿你的手机将会收到以下短消息：&&&&1．“回复QX＋序号，取消所订购的包月服务：0 所有订制包月服务；1 第一项服务（你开通的包月业务名称）；2 第二项服务（你开通的包月业务名称）。&&&&2．如果你想取消移动聊天（161）包月服务，请编辑短信00000发送至161取消服务。&&&&3．如果你想取消WAP服务中的QQ聊天包月服务，请用手机WAP功能登录梦网首页取消包月服务。&&&&“必杀技” 一步退订所有服务指令“00000”：如果想取消手机所定制的所有包月服务，可编辑短信“00000”发到“1700”，你的手机将会收到以下短信息：&&&&“你已取消由腾讯公司提供的所有包月服务，从下月起不再收费，腾讯******：66”&&&&但这也有个遗憾，就是我们以后再也不能接收到朋友从QQ上给我们发送的短消息了，包括所有的图片与铃声。其中的得失，你可要好好考虑一下。 &&&&不看白不看--腾讯TT安全问题&&&&腾讯TT（Tencent Traveler）是继承了旧的Tencent Explorer浏览系统，以全新的形态出现在我们面前的多页面浏览器。它与QQ结合紧密，我们可以在浏览器中登录QQ，迅速转入腾讯网站、腾讯讨论组、腾讯社区等相关服务。该浏览器还具有自动填表、清除浏览数据、恢复最近浏览页面等功能。而我们此次所发现的问题，就来自上述功能之一的“自动填写表单”。&&&&安全问题描述：一般来说，我们使用自动填写表单功能，是为了能快速地填写一些申请表。经过对腾讯TT的仔细分析，我们发现腾讯TT竟然将表单的数据全部以明文的形式写在腾讯TT***文件夹根目录的FormData.ini文件里，只要用普通的记事本打开该文件，用户的信息就会一览无遗！如图2所示。
图2 泄密的FormData.ini文件&&&&安全问题分析：虽然经过实验证明腾讯TT在保存表单里默认情况下不保存密码，但事实上，我们同样可以通过它的添加数据方式进行密码保存。要是有某位仁兄为了省事而将网络银行等信息一股脑儿地全输进去的话，那损失的也许就不只是几个信箱和ID那么简单了。显然，无论腾讯TT基于什么理由让填表的数据以明文的形式存在，都让人感觉它制作的潦草马虎。&&&&解决办法：如果你喜欢用腾讯TT进行表单的保存的话，应该注意不要将一些重要的和敏感的资料填上，尤其是密码和密码寻回的问题与***。手工填写虽然麻烦一些，但至少不会给别有用心的人以可乘之机。&&&&QQ 2003 Ⅲ正式版虽然针对某些Bug进行了修订和功能上的完善，但其中的共享文件夹、短讯通、腾讯TT、自定义面板上还存在着不少安全隐患。而据我们的分析，一旦这些隐患被不怀好意的人利用，很可能直接就会造成QQ用户的损失。&&&&不过，虽然说了这么多QQ不安全的理由，但我们的用意，只是帮助QQ用户更好地做好自我防护。实际上，QQ2003 Ⅲ 正式版添加了许多强大的功能，还对以前版本导致QQ不稳定的代码进行了改进，所以当我们试用了这么多功能后，它还没有发生过一次异常退出，在稳定性方面的确进步很大。
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
港口与航道工程建设工程法规及相关知识建设工程经济考试大纲矿业工程市政公用工程通信与广电工程
操作系统汇编语言计算机系统结构人工智能数据库系统微机与接口
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
Powerpoint教程WPS教程
电子政务客户关系管理首席信息官办公自动化大数据
职称考试题目
就业指导签约违约职业测评
招生信息考研政治
网络安全安全设置工具使用手机安全
3DMax教程Flash教程CorelDraw教程Director教程
Dreamwaver教程HTML教程网站策划网站运营Frontpage教程
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
互联网电信IT业界IT生活
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
组织运营财务资本
视频播放文件压缩杀毒软件输入法微博
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&