|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。
/ O4 E4 e1 L) H- S3 E+ d$ x# N# `8 h, u% A& [6 s- h
前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。7 M2 X2 ]' I' \3 @
+ ~" ]1 `5 C" f: d作为安全人员,从技术角度提一些个人看法。仅供参考。
+ `" y D$ O$ i# b6 q% m5 y( |" ]) c0 E3 K2 M
% | U& }6 |# A) X
1 V. M5 E! P) I3 X思路:利用SKEY
! H: f0 r5 b" r( c& K: O- m, q, O$ r
登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。
! `7 `3 g- y& d, m: j" e; n3 T9 @% Y" t6 d6 \4 h ?7 u
存在的未知,有待验证:6 K8 _3 q# j0 {; y: y$ w( k# ^
) R0 s4 y' R: d( G7 |5 K P: \. I1.SKEY有效期 + {8 g. L3 }( |- f! n$ k( s
- I' f0 F6 q* l
估计是一天: ~7 a% k. U2 [4 P$ g; i
1 R* _* r7 m U2.SKEY与IP是否绑定
. k' t, r9 Q) w% P
, A2 _1 l9 W5 q4 ?! y) |4 v, |应该有绑定
& S9 h4 N7 r! X) s2 u7 I$ V J. Q# a2 b: l: `/ L* R: E
2 K: Q* V! X' q8 F' S& [0 P7 Y1 ?: B! q- N
来看下面抓到的HTTP请求头:* T$ |1 }# N" \7 H' G9 ?: L
. I, X" M9 T! cGET / HTTP/1.1
$ Z L5 Z! G% O6 A- E5 Y. c- `) kCookie: skey=@njGHHthuc; uin=o126******2;. z9 P% x& M4 p4 X# R% f
Accept: image/jpeg, */*6 ~' H. Z6 O4 @' c
Referer: qzone.qq.com# o) G4 N! X4 V8 {
Accept-Language: zh-cn! Y7 E" k% v s/ K' w+ J- W! H
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)6 t! O4 k- a2 E
Host: qz.qq.com
* @- v- y8 D2 DCache-Control: no-cache, p0 ], i: L6 @; C+ L6 M
4 \& p, D0 R. N1 t% P: E
如果一切顺利,就会我们想要的页面。, D, A! b* `7 i5 a
4 g2 M: h& o s |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主