大家好,我是螺丝。今天给大家说说OICQ又一个很容易利用的漏洞。 OICQ在国内真的是很热门,我个人认为这个软件做得非常好,界面和易用度都超过了ICQ,但是毕竟是一个年轻的软件,他的漏洞也层出不穷。
这个不能添加新用户的漏洞的详细描述是这样的:
对于无论哪个版的OICQ,在添加用户时都会在OICQ安装的目录下添加一个名为用户号码的文件夹,这个文件夹里储藏的就是新用户的信息,但是,OICQ犯了一个错误,就是他以为OICQ安装的目录没有别人会进来修改,也就是说,他在创建这个文件夹时没有考虑这个文件夹已经存在的情况。
举例说明吧,我想添加一个号码为382286的用户,但是恶意用户已经在OICQ的目录下面新建了一个名为382286的目录。于是当OICQ通过了服务器验证,准备新建文件夹时会导致新建失败,然后,OICQ会显示一个错误对话框,可恶的是,这个错误对话框竟然一个字都没有,明摆着不是让用户看的嘛!
OK,这个漏洞已经说清楚了,接下来讲讲如何利用: “我不想让他用我的OICQ。”
如果你知道他的OICQ号码,只要在OICQ的目录中添加相应的文件夹,他就不能将自己添加到你动过手脚的OICQ中去了。
顺便说一句题外话,如果你用的是WINNT或2000,就可以方便的给OICQ目录加一个其他用户不能写的权限就方便的OK了。 |
