|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。" ~# k1 k- g$ S5 E, b0 Q
/ Y/ a) {. I2 Y- m( B
前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。# s: ?7 i! }. w2 t7 L
5 X* s, v, U# u
作为安全人员,从技术角度提一些个人看法。仅供参考。
* X* O' k6 ~5 ]' Y1 A) v8 u. P' ?3 Y6 N& ]+ R
7 ]1 n; W& r- h# M' U3 H
6 b" h' P4 _+ [; j2 l9 l思路:利用SKEY
H' A& N! O: O) ]
% T8 f7 l$ q( T. m& b3 S5 J登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。
5 }+ p7 V& t' V/ w+ E) N
# q3 F5 K4 r' ~ K存在的未知,有待验证:
7 {( }0 U q# _) G7 A8 q
$ Z& v/ h; X: p5 e* j4 V( d' | B1.SKEY有效期 6 n7 f- E/ n4 X! |# S' @
1 R2 g( J: Z ^9 W* v* E估计是一天# f1 H- `/ w+ T$ O- a& B- v* g
" X! B( D" ], x8 L2.SKEY与IP是否绑定! k4 P) _' h5 i0 p: A; \
+ b6 S: h" I0 f( r. C, I T
应该有绑定' t! A a8 J$ Y& D4 W* ~. n5 T
w. J2 L+ n5 j" n; V/ A1 i/ W
5 s2 ?% C8 b/ O; T1 J
( d: `% n& ?6 j来看下面抓到的HTTP请求头:1 G, M! G3 |& H4 W# |
4 o, ~0 {! _3 Y
GET / HTTP/1.1
- P: z3 f1 q! NCookie: skey=@njGHHthuc; uin=o126******2;
, U" L2 I6 a# Q) ? p8 _0 KAccept: image/jpeg, */*3 k: D: F$ ]$ {) J' V3 j8 L9 B6 P
Referer: qzone.qq.com
# [$ A( _ Q+ p9 ?9 ^! EAccept-Language: zh-cn
/ R5 |) z" o+ s' Z( D$ T6 BUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0), G2 u7 i& d- s: ~7 t
Host: qz.qq.com
/ S1 R4 i6 u; R8 `" }( Q' ICache-Control: no-cache
8 t0 p7 i6 {3 W+ [/ K9 l. _$ g9 {# p+ m( y7 C& [( ?& d
如果一切顺利,就会我们想要的页面。8 K7 |! Y) Z' K; E" B3 W+ W
' M* ?; r# s D4 ]* Z: `$ p' p
|
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主