QQ空间官方帐号被黑产利用漏洞分析

原文地址：mozhe.cn/news/detail…

2011年，Facebook推出了默认人脸识别功能实现自动识别圈人功能，2013年，Instagram推出名称为“你的照片”的圈人功能。基本都是用户利用这个功能在照片中圈出好友，并经过标签直接找到该好友的全部照片。圈人可让照片成为找人的最佳途径。

在2013年，QQ空间也推出了圈人功能，在他人对空间说说中，找到要圈人的照片，圈出照片中的好友，从中选择本身相对应的好友就能够。这个实际上是个不错的功能，借助他人能够了解到更多信息。拿个简单的图表示下：

从2015年开始，网络就有人说这个功能被人恶意拿来打广告。并给出了具体的方法。

官方一直未修补（可能官方以为这个是个正常功能，就是这样设计的），这个地方问题就出在了被圈出人显示的QQ昵称。这些作灰色产业游走在法律边缘的人，大脑真的是很聪明，就把这个地方作为一个商机，来打广告了。

2018年6月8日，QQ空间官方帐号发布“微视”小电影广告，正文部分是正常的腾讯微视广告，推荐了微视的“红人计划”。然而问题在于，这条动态下方被恶意圈出的人名单，附带了大量名称不可描述的连接。

其实官方帐号并未被盗用，只是被人恶意利用了圈人的功能了而已，把开始的图给重现一下：

当天下午，官方作出了回应，表示该问题是因黑产利用了业务逻辑漏洞所致。同时官方对此表示了歉意，并称该问题已经被修复。

提及来业务逻辑漏洞，实际上是业务系统的一种设计缺陷，这种漏洞在真实的业务场景里面，多数可能用扫描器是没法发现的（除非是个超智能的人工智能扫描器），不然只能人工测试，常见的有密码找回、越权、顺序执行等问题。经过更改数据包中的ID值，来获取他人的敏感信息，如网银中的相似问题，修改数据包中的银行卡卡号，能够返回相对应银行卡的注册信息等内容。运营商的相似问题是修改数据包中的他人的手机号码，能够返回他人的手机号注册信息等内容，这些都是业务逻辑漏洞。

墨者学院靶场环境中，有2个跟业务逻辑漏洞相关的靶场环境，不妨来试试，深刻了解一下漏洞的造成原理：

身份认证失效漏洞实战：mozhe.cn/bug/detail/…

登陆密码重置漏洞分析溯源：mozhe.cn/bug/detail/…

（注：以上涉及到的日期时间，均经过公开搜索引擎得到，可能与真实时间有出入。）