查看完整版本: 你的账号为什么会被盗？（有图有真相）

你的账号为什么会被盗？（有图有真相）

[b][size=5][color=red]盗号漏洞已经公开测试 外链图片可以盗号哦！
漏洞详情披露状态：
2012-11-25：        细节已通知厂商并且等待厂商处理中
2012-11-30：        厂商已经主动忽略漏洞，细节向公众公开[/color][/size][/b]
[b][size=5][color=red]简要描述：利用的是盗号病毒网站的基础认证钓鱼，并成功钓到用户数据
详细说明：当在Discuz中回帖，插入一张很奇葩的图片时，可能就会导致用户被盗号。[/color][/size][/b][code]01.http://盗号病毒网站/authtest.php?id=Ayuk1y&info=Please+Login+In++@360.cn[/code][b][size=5][color=red]例如上面那个地址，可以用图片来引用之，然后回帖，当用户看到这张图片的时候，就会触发提示登陆框。[/color][/size][/b]
[b][size=5][color=red]用户浏览网页就会弹出小窗口 如下图所示：[/color][/size][/b]

[img]http://i.imm.io/OKWh.jpeg[/img]


[b][size=5][color=red]当输入密码后，会重定向到收集数据的页面，接着，你们密码就被盗了。[/color][/size][/b]
[b][size=5][color=red]我为什么认为这个是一个漏洞：[/color][/size][/b]
[b][size=5][color=red]
[u]1、用户网站大多都是提醒用户不要再站外输入自己的账号密码，但是，
现在将代码插入到网站内部，用户有认为这是在网站内部，所以就输入了自己的密码。[/u][/color][/size][/b]
[b][u][size=5][color=#ff0000][/color][/size][/u][/b]
[b][u][size=5][color=#ff0000][/color][/size][/u][/b]
[b][size=5][color=red]2、经过试验，成功钓到了用户的数据[/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=red]3、不仅仅是Discuz，需要网站都支持引用一张网络图片，并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。[/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=red]4、之前的钓鱼过程是：黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗[/color][/size][/b]
[b][size=5][color=red]
而现在是：黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然，就少了一个非常繁琐的步骤。[/color][/size][/b]
[b][size=5][color=red]例如，在一个论坛中，我将那个图片插在签名中，然后几乎每个帖子都去回复，
然后，用户基本上就是去到哪里都能看到我的框框。。。。然后后果你  你懂得。。。。。[/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=#ff0000]解决办法如下：[/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[b][size=5][color=#ff0000][/color][/size][/b]
[color=red][b][size=5][color=red]这个是图片外链漏洞，浏览器向图片来源发出http get请求，如果对方返回http401就会弹出验证框，然后帐号密码返回给对方。所以，[u]千万不要输入自己的用户名和密码[/u]  否则您的账号将会被盗取，只要[/color]关闭外链图片功能或者换成chrome、ff 即可，因为这种手段也就在ie和opera上有效。（解决办法由会员 moluo199010  提供）[/size][/b][/color]


[b][size=5][color=#ff0000]附上本宫十级账号差点被盗的真实经历：
[bbs]thread-4696028-1-1.html[/bbs][/color][/color][/size][/b]

2012-11-30： 厂商已经主动忽略漏洞，细节向公众公开

不知道厂商忽略是处理没有处理！现在盗号太厉害了！防不胜防！让新手如何敢去回帖！敢去发帖！还真希望做出一些能有用的安保措施！

在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复

[quote]原帖由 [i]撕扯[/i] 于 2012-12-12 07:34 发表 [url=http://67.220.90.13/bbs/redirect.php?goto=findpost&pid=87354120&ptid=4696803][img]http://67.220.90.13/bbs/images/common/back.gif[/img][/url]
在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复 [/quote]
[b][size=4][color=Red]这个盗号手法是把盗号病毒的链接用 [img] 代码引用 插入在自己的签名图或者帖子图片里，其他用用户只要看到这张图片或者正在浏览有此图片的网页都会触发要求输入用户名和密码的弹窗，而不是您所说的发帖或者回复才会触发弹窗。可想而知这个问题的严重性哦！当输入用户名和密码后，会重定向到收集数据的页面，接着，密码就被盗了。因为代码插入到了网站内部，用户有认为这是在网站内部，所以就轻易的输入了自己的密码。moluo199010 说这个漏洞只会在ie和opera上有效才会有效  也许换个浏览器会减少被盗号的几率[/color][/size][/b]

还是不要轻易对那些弹窗的 输入自己的密码

[quote]原帖由 [i]pengqipop[/i] 于 2012-12-12 09:57 发表 [url=http://174.127.195.171/bbs/redirect.php?goto=findpost&pid=87355981&ptid=4696803][img]http://174.127.195.171/bbs/images/common/back.gif[/img][/url]
还是不要轻易对那些弹窗的 输入自己的密码 [/quote]
不是轻易不要  而是绝对不要
兄弟您还说我电脑本身中毒呢:faint
如果不是本宫机灵  
本宫的账号早去发广告了

我不是这种方式被盗的，到目前为止都不知道为什么会被盗！！现在的木马 太厉害了

[quote]原帖由 [i]撕扯[/i] 于 2012-12-12 07:34 发表 [url=http://174.127.195.168/bbs/redirect.php?goto=findpost&pid=87354120&ptid=4696803][img]http://174.127.195.168/bbs/images/common/back.gif[/img][/url]
在问一句！使用火狐浏览器！广告屏蔽功能应该能防止这个盗号吗？望知道的技术人员回复 [/quote]
我用的就是火狐浏览器，前几天打开那个伪装成《一路向西》下载链接的帖子的时候，也是弹出一个对话框，要求输入用户名和密码，当时我立即关闭了，所以不能确定是否能盗到我的号，但看起来用火狐也不一定保险，被盗号的可能性还是存在的。
总之，各位会员只要注意一点，在论坛中每天只需登录一次即可，论坛肯定不会弹出对话框让你再输入用户名和密码。即使有的贴子所使用的IP地址不同，你打不开，论坛也会只是会提示你没权限浏览这个帖子，而肯定不会出现弹窗。
所以记住一点，遇到弹窗直接关闭，这样最保险！

太恐怖了

我乖乖的听大大们的话，老实点，不贪便宜，绝对不会有事的
  

我就想问啦，到底论坛上头那些“动人”的广告可以点不拉？？？
  
有谁能解答解答，谢谢啦...

回复 9楼 的帖子

*** 作者被禁止或删除 内容自动屏蔽 ***

我的号不知为什么也不见了，再登陆就显示密码或帐号不正确，也没有办法找回来:cry

手段也越来越隐蔽了，多谢楼主提醒，提醒大家的同时也应该严惩这些发木马的人！

这个还有弹窗前几天已经没弹窗了 用的也是asp　直接转入一个新网址界面和我们的主页一模一样，我们是 sexinsex  他们是sexlnsex

古语有云:盗人一号，立下十八层高楼啊！！！

太可怕了。。。

:wad37 太可怕了。。。以后我都要注意下

黑客的头脑是灵活的啊且黑客永远走在前面。

其實這種類似的盜號木馬近排很流行，我有個朋友在淘寶也被盜了還是盜的VISA
也沒有什麽好的方法，就是經常殺毒，更新殺毒軟件，方法雖笨但很實用。
盜號，偷錢是小，要是你的私密照啊，短片啊，什麽的流了出去....呵呵:sweat

盗号的太厉害了~我的大号已经被盗了~真丝郁闷极了~

总之弹出窗口上不能输入账号，密码。定期杀毒，把SIS放收藏夹里，杜绝盗号隐患！

我也遇到过一次了，大家要注意啊，还好及时发现马上修改了密码