刀剑一个存在了十几年的漏洞——你被盗号的过程

前言
今天上线玩游戏,突然看到线上有人收账号,刚好前几天清空了资料,就聊了聊,对方说为了安全要了我的手机号,并加了我的微信。
然后,微信中我截图给对方看了账号已经清空的情况,对方揪着要看我的安全邮箱能不能收到修改超级密码的问题不放,超级密码是前天才修改的,我一直说能收到,对方一直纠缠,要求验证是否能收到,确认账号是否情况。从此,我产生了怀疑,发现不对。原来,还真邮箱修改超级密码的的漏洞导致。
0x2
修改超级密码的过程
通常,我们修改超级密码是通过GM账号页面输入账号和邮箱,再输入验证码,系统就会直接发送一个修改超级密码链接到邮箱
图片[1]|刀剑一个存在了十几年的漏洞——你被盗号的过程|精品区社区|古琴台|laodaojian.com

然后,你的邮箱会收到这样一封邮件
图片[2]|刀剑一个存在了十几年的漏洞——你被盗号的过程|精品区社区|古琴台|laodaojian.com

然后你点击了链接,就进入到了修改超级密码的页面
图片[3]|刀剑一个存在了十几年的漏洞——你被盗号的过程|精品区社区|古琴台|laodaojian.com

0x3
这个过程有什么问题?
细心的朋友可能已经看出来了,我刻意涂抹了关键的信息,重要的是邮件中发给你的那个链接,问题就在这里,由于大家只需要点击这个链接,就能修改到超级密码,而且链接又是完全暴露的状态,如果有人获取到了这个链接,那么只要他输入这个完全一模一样的链接到浏览器,就可以打开修改超级密码页面(特别注意:如果你的资料已经清空的话,已经来不及了,修改了超级密码,就可以修改密码,输入账号密码就可以补全详细身份信息了)
0x4
别人如何获取到的我的邮件信息?
我说到这个,有人肯定会说只有**才会给,那是当然,如果没有安全意识呢?要知道,能从邮件的链接中找到这个漏洞,是所有网络小白都不知道的事情,看这篇帖子的人,很可能已经遭过。
像我前面说的那样,线上叫着收号,然后加你微信私聊,假装验证账号是否情况,确认邮件是否能收到信息,叫你修改超级密码,来套取你的邮件信息。从而从你的邮件信息中,手工输入链接,修改你的密码,造成你重大损失。因为你根本不知道发生了什么,你是网络小白。你投资的钱,付出的汗水,都离你远去了,你上线看到你的号在线,你大骂着xxx骗子死xx之类的话,再也没人理你了。
0x5
明确,搜狐设计漏洞
对于这种敏感信息,搜狐不应该直接暴露链接,特别提示,这个真的是刻意设计的
图片[4]|刀剑一个存在了十几年的漏洞——你被盗号的过程|精品区社区|古琴台|laodaojian.com

看到上面的图片没?刻意的说了 如果点击链接不工作,请您选择并复制下面整个链接,打开浏览器窗口并将其粘贴到地址栏中,然后单击“转到”按钮或按键盘上的Enter键。
心理面一千万个***奔腾,这个漏洞刀剑有多少年,就存在了多少年,底层保护一直都没有更新。
搜狐应该负主要责任,多说一句,如果你的账号因此被盗,可以去打官司告,人多的情况下可以集体凑钱。因为搜狐的安全漏洞导致,没有保障玩家的账号安全,用户没有安全意识!
0x6
写这篇文章花了不少力气,请管理置顶,提高大家的安全意识

请登录后发表评论