输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

投稿用户 爆款货源 阅读 104

近期,在境外暗网中出现了一个黑产供应链,境外黑客宣称掌握了QQ近14亿泄漏数据,并提供付费查询服务,引发轩然大波。那么泄露的数据是真实的吗?本期文章将用技术分析真实的泄露来源,我们继续往下看。

一、“泄露事件”介绍

事件的本身是源于国外某社交平台中的网友发布了一则广告,宣称“已经掌握QQ近14亿的泄漏数据,其中绑定手机号码可以随意查询,并提供了100万条数据样本,通过截图我们可以看到,这个数据共58.3MB,数据获取事件为2022年8月11日,数据数量为14.68亿条,其中能提供邮箱、ID、手机号码以及QQ号码。”那这是真的吗?

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

信息截图

二、数据分析及源头Bug发现

从它发布的广告中还发现了两个信息点,首先第一个就是提供了一个接口链接“accounts.qq.com/find/password(腾讯安全中心找密码位置)”。

第二个就是一张图片。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

信息截图

有了这两个信息点,我们分析起来就简单多了。

首先我们打开提供接口的网址。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

接口地址截图

由于直发了这个链接,具体如何使用没有详细解读,我们就自己抓包分析一下看看。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

抓包代码截图

通过测试发现,在请求账号包数据的时候,这个接口存在一个没有任何限制就可以跑取手机号的Bug,理论上来讲我们只需要一个批量生成的QQ号码库然后随机匹配生成号码段的手机号库,将线程开到最大、并发,加上无视请求次数的Bug,直接开跑,结果错误的直接给Pass掉,成功的则进行记录保存。随着时间的增加,成功的数据就会源源不断地记录下来。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

抓包代码截图

假如单个QQ号码进行绑定手机号获取的话速度还是非常快的。这也就是说黑产市场上提供的查询及数据的来源并非是数据的泄漏,而是通过官方没有查询限制的bug,进行枚举查询。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

抓包代码截图

(注意){"retcode":1703,"retmsg":"手机号验证错误,请重试"} 是不受限制的,无论发多少次包都不会有QQ号认证正确的手机号次数限制。假设我们替换请求包uin=QQ号/account":"QQ号和mobile":"正确的手机号"就可以实现爆破了,看到参数好像还有识别国家的疑似绑定其他国家的也可以爆破。

输入qq号查对方位置ip网站,输入qq号查对方位置ip网站免费

抓包代码截图

根据小君的调研发现,就简简单单的这个小bug养活了市场上好多家提供数据查询的公司,可想而知,小小的bug危害到底有多大?

结语

截止发稿前,该漏洞已经被官方修复,但像这样的bug究竟还有多少呢?希望相关企业能够在数据安全方面再下功夫,避免个人隐私泄漏问题再次发生。感谢阅读本期文章,有喜欢网络安全的小伙伴欢迎关注我的账号,我们下期再见!

创业项目群,学习操作 18个小项目,添加 微信:790838556  备注:小项目

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 zoodoho@qq.com举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.zoodoho.com/38807.html
(0)
投稿用户
0
上一篇 2022年11月5日 pm1:10
下一篇 2022年11月5日 pm2:26

相关推荐