今天是个比较特殊的日子,腾讯旗下的微信产品做了较大更新,针对微信朋友圈增加了一项神奇的功能(微信红包照片),用户可以用图片表达心思,所以多了一种方式——“红包照片”
第一、微信用户在朋友圈发一张珍藏照片。
第二、用户朋友圈的好友在朋友圈看到的是一张模糊的照片,点开图片,系统会随机使某一小个部位变清晰,朋友向你发个小额红包(2至10元)送祝福后,即可查看清晰完整照片。
第三、用户看到清晰照片后,便可进行点赞和评论。
但是由于某些原因,临时下线了,而下线的原因是什么呢?我们来看看有关乌云社区白帽子的报(gou)告(gao)。
编者按:本文来自乌云社区某白帽投稿。
事情经过:
晚上五点出头,办公室的同事惊奇发现,微信朋友圈居然换成了土豪金主题,各种金色名字、按钮不说,还刷出来许多雾蒙蒙的图片。
点开一看,居然要给红包才能看,原来微信正开始预热晚上的推广活动。
作为一枚白帽子,看到这个第一眼当然想的是怎么不发红包就看。
工具一开,抓包一看,哎哟……看到了
怎么回事呢?其实微信并没有对图片进行打码或者加密,只是在朋友圈显示的时候加了一层动态滤镜。你在微信里看到“雾蒙蒙”是滤镜效果。
如果绕过微信,直接通过图片地址查看,那么就能看到没加滤镜的原始图片了。
当然,这还需要你找出图片地址。
这里微信犯了个低级错误,点开图片时其实图片已经下载到本地,无论网络抓包找出原始链接或者本地查找图片缓存文件,都可以看到图片。如果换成给红包后才下载,那么问题就不存在了。
当然,给红包看照片只是个娱乐大家的活动,首先要考虑可玩性和用户体验。而先下载才能保证游戏好玩,以及后续的查看体验。这样也无可厚非,没必要要求太严苛。
腾讯也在@路人甲 报告的“微信朋友圈绕过红包限制直接查看照片”漏洞中做出确认和回复:
非常感谢您的报告,此报告属于已知问题,今天的微信朋友圈红包也只是预热,后续我们将尽快修复此问题。同时我们欢迎大家反馈有关红包业务的安全漏洞,感谢大家对腾讯业务安全的关注。
好嘞,安全课到此结束。大家该玩的还是去玩吧。
本次涉及的安全问题从问题提交到腾讯方面的确认及修复工作,我们还是看到了腾讯在对安全问题事件的响应能力上是值得肯定的,这点也是值得安全从业者和相关企业值得学习的。
鱼爪创媒是一家专业提供公众号交易、公众号迁移、公众号增粉、公众号买卖交易的平台,如果您有这方面的需求,欢迎电话咨询:13018202357。有任何疑问,可以
【立即咨询】
我们平台的客服或者添加微信号
【13018202357】
。此文章来源于网络,如有侵权,请联系删除
公众号转让 
