Tencent QQ/TIM 文件下载漏洞的研究
请注意:该漏洞已提交给腾讯官方,截止至发文时正在进行紧急处理,切勿利用该漏洞进行违法违规活动!
话不多说,进入正题。
用了多年QQ/TIM(为了叙述方便,以下简称QQ),想必各位也清楚,QQ群的部分恶意文件已经无法通过安全监测了,换句话说,直接点“下载”,就会……
那么,有一些被腾讯给“误杀”并且又急需的文件,我们应该怎么办呢?
实际上腾讯不知是有意还是无意,在QQ上面留了一个漏洞。
说不定腾讯内部也传■■■■。
实际上,如果你进行了探索,就会发现,虽然腾讯连微云都想到封死了,但是QQ收藏夹倒是有白名单。
所以,正确的食用步骤是这样的:
1、找好你的目标文件,进行收藏(不会的可以自我了断了);
2、找一个联系人(如果是测试建议发给自己或“我的手机/电脑”),从你的收藏夹里面翻出那个文件;
3、发送。
你会惊喜的发现,收藏夹文件并没有进行安全监测,这可能是因为腾讯当初设计时把收藏夹文件默认为安全所致。
所以你会……
()图片丢失,懂得都懂
(下图是直接发送,上图是绕过安全监测发送)
这个bug已经提交给腾讯官方,切莫利用它下载违法违规文件,别怪我没有提醒你(划重点)!
随笔园原文链接:https://www.yateam.cc/archives/139
Tencent QQ/TIM 文件下载漏洞的研究相关推荐
- 网站前端联系我们之点击自动打开qq/Tim对话窗口
自动跳出QQ/TIM对话框 没有完美的网站,需要用户的反馈来完善我们的页面.那么,联系我们必不可少.在即时通讯软件中,QQ/Tim用的最多.前几天发现了自动调用QQ/Tim代码,经测试发现可以用,很方 ...
- 在Linux下完美运行Windows PC版QQ/TIM教程
转自 http://www.ithome.com/html/win10/307236.htm 感谢IT之家网友 DotNet码农 的投稿 对于很多开发人员来说,Linux可能是他们的主要工作环境,然而 ...
- 使用deepin-Wine在ubuntu下安装QQ,TIM,微信等软件,以及deepin-wine的快捷键设置
使用deepin-Wine在ubuntu下安装QQ,TIM,微信等软件.deepin-wine的快捷键设置 9月30日,国庆在即,公司内的大部分老哥也开始提前调休休假,在公司内没什么事干的情况下,总得 ...
- tim服务器运行出错,解决QQ/TIM在Sandboxie中无法运行
最近因游戏语音需要在sandboxie中安装了tim,然而一个奇怪的问题一直困扰着我:每当退出sandboxie后便无法再成功打开tim,唯一的解决方案就是重新安装tim. 经过一番查询后终于发现原因 ...
- 使用Xposed实现QQ/TIM自动确认电脑扫一扫登录
本文同步更新于旺仔的个人博客,访问可能有点慢,多刷新几次. 缘由 不知道大家有没有用过QQ/TIM登录的时候使用扫描二维码登录的功能呢? 也就是登录界面的右下角那里有个二维码的按钮 点击之后就会出现二 ...
- linux中网页版tim,IT之家学院:在Linux下完美运行WindowsPC版QQ/TIM教程
感谢IT之家网友DotNet码农的投稿 对于很多开发人员来说,Linux可能是他们的主要工作环境,然而与其相矛盾的是,QQ又是他们的主要通讯工具.然而,类似于腾讯消极维护UWP版本QQ的原因,Linu ...
- linux装Windows版QQ,在Linux下完美运行Windows PC版QQ/TIM教程
对于很多开发人员来说,Linux可能是他们的主要工作环境,然而与其相矛盾的是,QQ又是他们的主要通讯工具.然而,类似于腾讯消极维护Win10 UWP版本QQ的原因,Linux版本的QQ早在2008年就 ...
- 简单漏洞QQ/TM2009 溢出漏洞
溢出代码:(中间汉字可任意替换) ﻬ墨♬ 漏洞范围:QQ/TM 2009 所有版本 代码最简易测试:请您加qq1246270967为好友试试 简易测试: 我们将qq214123212账号的昵称设 ...
- Web前端学习笔记——HTML5与CSS3之QQ TIM案例
<QQ TIM>案例 Stellar插件 描述 视差滚动(Parallax Scrolling)指网页滚动过程中, 多层次的元素进行不同程度的移动,视觉上形成立体运动效果的网页展示技术 主 ...
- symantec+linux+升级包,Symantec Messaging Gateway任意文件下载漏洞
发布日期:2012-12-01 更新日期:2012-12-06 受影响系统: Symantec Messaging Gateway 9.5.1 Symantec Messaging Gateway 9 ...
最新文章
- 【运营】盘点2014,有哪些O2O名牌被撕。
- Android之在linux环境不通过TAG快速过滤日志
- Hystrix---SpringCloud
- vnc用户名 查看linux_vnc用户名未被识别,5步教你如何解决vnc用户名未被识别
- 结果期待3年多的看图软件
- 什么时候用到mysql存储过程_什么时候用到存储过程
- 《软件工程导论》课后习题答案
- Java server sent_Server-Sent Events的Java简单实现
- 终端天线—9.4G手机调试
- 模式识别和机器学习的区别
- 【Matlab绘图】plot3函数绘制三维点或线图
- 微信开发-JS接口微信定位
- 如何使用secureCRT连接vmware中的虚拟主机?
- govendor使用笔记
- 微信小程序之———登录注册!
- 第六章——图(1)——图的基本概念
- python中字母与ascii码的相互转换
- 位运算(异或、左移、右移)的运算规则
- 《孤尽班T31-01-架构理论笔记》
- linux修复fat文件系统,如何修复损坏的FAT32文件系统