|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。
, P0 Q+ C6 U2 V4 c& E0 r) w' o5 u+ ^1 Q* A6 K5 r0 y. |
前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。& G) \& M* {+ B2 ]* G) b8 B
" a* L4 E' e6 {/ Q作为安全人员,从技术角度提一些个人看法。仅供参考。
( I% i" p. S' L* n& j+ T
* V/ E( @7 w" q4 M: ]( G" `- L! s* [
5 s4 f3 x/ r4 s6 Z8 K2 s
思路:利用SKEY
7 k2 ~9 o5 Y: ~) S% k( @% Y- i: ^: f
5 }8 _4 W5 U2 h登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。3 M( E. V4 ~2 x. i2 n. |
4 [% i7 F( [9 X: Z- E; l# |8 e1 E
存在的未知,有待验证:
0 p( R1 V8 J* ?1 k2 a/ \! H
, c# F0 N9 a9 l. T# S; J3 w1.SKEY有效期
: n7 K e3 ~' r c& K( X! x3 O& v" k
. ~* b% Z$ u% I估计是一天. L$ j) ~5 n5 P- K
3 P! A3 T% \! S: r s1 L# a
2.SKEY与IP是否绑定% x% C( \6 d) y; u
- C% |1 n/ V5 C A; e) U
应该有绑定! s8 J* d& ]" @! ^6 Z6 f& [' I
- W; f M" [9 I/ Q2 Z$ p2 `
( c/ q( B. R u/ w; n4 z: t
/ n9 O& t/ o& N% S" ]来看下面抓到的HTTP请求头:$ S F. X1 c+ C- o
9 M2 ^& b( `) r. b5 ?, @
GET / HTTP/1.1- e! o4 D _+ T; G
Cookie: skey=@njGHHthuc; uin=o126******2;' O9 r/ R5 w" Y
Accept: image/jpeg, */*, x5 |! G2 r! H9 H5 M
Referer: qzone.qq.com* u1 a" u! ^$ u% z
Accept-Language: zh-cn) J: h: d" d$ u# L* n( B
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)6 J, }$ W W/ M' @* W' L5 H- u
Host: qz.qq.com
* ?. d7 p9 h. j: qCache-Control: no-cache
( q u( e, J) G: W2 A4 J- ^. _! _7 _3 }) B$ S
如果一切顺利,就会我们想要的页面。
# y! Y- S+ X3 s
1 R, T' s, R9 [6 L& p7 {; k |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主