当前位置:WooYun(白帽子技术社区) >> 浏览器安全 >> 360安全卫士的check_outchain.php你怎么看

360安全卫士的check_outchain.php你怎么看

bittertea (Bittertea.pw) | 2013-02-28 22:21

不知道各位基友有没有安装360,安装360之后有没有注意到360的这个细节

下面是我的一个小测试
QQ截图20130228220737.png
在乌云某处提交了一个表单之后,用burpsuite截获数据,立马弹出来的并不是表单的内容,而是主机向360的check_outchain.php的一个数据包。


这个是360检测链接是否安全的一个动作。

提交完之后,又向360提交了一个数据包QQ截图20130228220826.png


假设:对于隐私高度重视的今天,假如360的服务器把这些提交的数据包存放在数据库里,那么360那里将会有超大的网站信息量,包括各个网站的后台地址,目录,或者拥有更多的东西,就如这几天比较火的新闻,窃取用户的信息,拥有各种后台密码也是完全有可能的。说不定过不了多久继google hacking之后将会有360 hacking(360的装机量我也不是很清楚,假设在4亿左右,或者更多)

分享到:
35 个回复
  1. 1#
    回复此人 感谢
    ACGT | 2013-02-28 22:25

    秃子头上的虱子还用得着看嘛

  2. 2#
    回复此人 感谢
    TituX | 2013-02-28 22:27

    这还用说嘛

  3. 3#
    回复此人 感谢
    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2013-02-28 23:00

    360不是卖鞋子嘛``他管这么多..日

  4. 4#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-02-28 23:06

    不是说目MD5么 这个看着不象啊

  5. 5#
    回复此人 感谢
    Wdot | 2013-03-01 09:37

    我几年前开始已不敢使用360的任何产品。。。

  6. 6#
    回复此人 感谢
    leehenwu (关注安全) | 2013-03-01 10:10

    注意过  不过没解出来是什么信息内容

  7. 7#
    回复此人 感谢
    Finger (Save water. Shower with your girlfriend.) | 2013-03-01 10:14

    早就注意到了 但发包的内容没解出来

  8. 8#
    回复此人 感谢
    livers (如梦似幻) | 2013-03-01 10:18

    @xsser 倘若javascript:void(0)不是md5 wooyun 的数据   360可有备份:)

  9. 9#
    回复此人 感谢
    erevus | 2013-03-01 19:16

    你们干嘛又黑360 360挺好的 上次我重装系统,很多文件不见了 结果问360的工程师 他立马上云服务器帮我拿来回来

  10. 10#
    回复此人 感谢
    TituX | 2013-03-01 19:18

    你们干嘛又黑360 360挺好的 上次我好久没登邮箱qq,密码都忘了 结果问360的工程师 他立马上云服务器帮我拿来回来

  11. 11#
    回复此人 感谢
    bittertea (Bittertea.pw) | 2013-03-01 19:22

    10#的童鞋   这也未必是好事   从另外个角度来说这个也方便社工

  12. 12#
    回复此人 感谢
    小胖胖要减肥 | 2013-03-01 19:27

    @bittertea 9楼10楼才是真心在黑360  其实qq也可以把你彻底删除的文件给搞回来的 不是么

  13. 13#
    回复此人 感谢
    EDI | 2013-03-01 19:40

    @erevus 亮了

  14. 14#
    回复此人 感谢
    bittertea (Bittertea.pw) | 2013-03-01 19:46

    确实高级黑啊   - -

  15. 15#
    回复此人 感谢
    无敌L.t.H (‮……天百一爱恋考高:簿相色白产国) | 2013-03-01 20:15

    坐等逆向工程师

  16. 16#
    回复此人 感谢
    乌帽子 (业精于勤而荒于嬉,行成于思而毁于随。) | 2013-03-01 22:12

    你们干嘛又黑360 360挺好的 上次我网银密码都忘了 幸亏去问了360的工程师 他立马到云服务器上帮我找了回来

  17. 17#
    回复此人 感谢
    鬼哥 | 2013-03-01 23:20

    上次想看个MM电脑裸照,去问了360的工程师 他立马到云服务器上给找了给我看!

  18. 18#
    回复此人 感谢
    顺子 | 2013-03-02 00:32

    你们干嘛又黑360 360挺好的 上次我在找一张照片。是我09年的时候的。好在去问了360的工程师。他立马到云服务器里面找到了当时我用笔记本上网的时候的照片。而且还是摄像头对着我的!

  19. 19#
    回复此人 感谢
    koohik (精通各种系统的关机操作!) | 2013-03-02 09:56

    你们干嘛又黑360 360挺好的 上次我重装系统,珍藏了很久的各种门视频不见了 结果问360的工程师 他立马上云服务器帮我拿来回来,还说挺不错的

  20. 20#
    回复此人 感谢
    CHForce (带马师) | 2013-03-02 13:42

    你们干嘛又黑360 360挺好的 上次我的电脑的bios密码忘了,我用手机咨询360工程师,他们立马上云服务器查询 把我手机的root密码给我了

  21. 21#
    回复此人 感谢
    LittlePig (</html>) | 2013-03-02 22:09

    @CHForce 你赢了……

  22. 22#
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-03-02 23:41

    你们干嘛又黑360 360挺好的 上次我好久没登邮箱qq,密码都忘了 结果问360的工程师 他立马上云服务器帮我拿来回来

  23. 23#
    回复此人 感谢
    黑吊丝 (360安全卫士为您保驾护航。) | 2013-03-03 22:00

    你们干嘛又黑360 360挺好的 上次我的硬盘烧掉了,数据都没了, 结果问360的工程师 他立马上云服务器帮我吧他们备份的数据给了我!

  24. 24#
    回复此人 感谢
    点点 (http://t.qq.com/ox_diandi) | 2013-03-04 10:22

    你们干嘛又黑360 360挺好的 上次我的320G种子都没了, 结果问360的工程师 他立马上云服务器帮我吧他们备份的数据给了我!

  25. 25#
    回复此人 感谢
    虫子 (我家的小红狗 又出来咬人了) | 2013-03-04 14:34

    你们干嘛又黑360 360挺好的 上次我网银密码都忘了 幸亏去问了360的工程师 他立马到云服务器上帮我找了回来

  26. 26#
    回复此人 感谢
    insight-labs (Root Yourself in Success) | 2013-03-04 22:26

    你们干嘛又黑360 360挺好的 上次我想日个站日不下来 幸亏去问了360的工程师 他里面到云服务器上帮我把对方管理员全部密码告诉我了

  27. 27#
    回复此人 感谢
    tpu01yzx | 2013-03-06 01:08

    目测使用的是AES加密,后面那个不会就是密钥吧?找人逆向一下就知道了,尽瞎猜也没用。

  28. 28#
    回复此人 感谢
    不懂xx (mmmmmmmmmmmmmmmmmmmmmmmmm) | 2013-03-06 10:45

    你们干嘛又黑360 360挺好的 上次我想日个站日不下来 幸亏去问了360的工程师 他里面到云服务器上帮我把对方管理员全部密码告诉我了

  29. 29#
    回复此人 感谢
    Duking | 2013-03-11 21:08

    防止恶意网址的,但是也泄露了隐私....

  30. 30#
    回复此人 感谢
    zsx (‮‮ ‮捣乱不犯法) | 2013-03-11 22:58

    你们干嘛又黑360 360挺好的 上次我想装金山装不来 幸亏去问了360的工程师 他给我装了一个360定制版的金山毒霸,比原版还好用呢

  31. 31#
    回复此人 感谢
    se55i0n (那些年,我们一起看的岛国动作片~) | 2013-03-11 23:21

    国内的产品,都这样干,一不留神发现你安装的软件都在收集隐私信息~

  32. 32#
    回复此人 感谢
    Desert | 2013-06-28 11:27

    @CHForce 360工程师向你致敬

  33. 33#
    回复此人 感谢
    咖啡 (SELECT) | 2013-06-28 11:34

    o(>﹏<)o不要啊黑数字

  34. 34#
    回复此人 感谢
    xsjswt | 2013-06-28 11:38

    为了保护360用户的网银安全,360会对用户访问网站进行指纹识别,以帮助用户识别伪冒、钓鱼站点

  35. 35#
    回复此人 感谢
    xsjswt | 2013-06-28 11:41

    @tpu01yzx 应该不是aes,aes是对称密钥的。

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容

  • 暂无

Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1