|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。
. e3 [7 ]3 c" x2 ]5 C4 o7 Q7 s( m+ A. a5 F
前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。7 c; N$ Z! W& e8 e. w6 v; K7 o
( x N9 }, g$ E作为安全人员,从技术角度提一些个人看法。仅供参考。
7 o: [; k) Z( Y* Y) U" d7 a2 _2 Y
$ w$ r. f+ Y8 `1 c5 r
' X* ^/ _% i( l6 f3 a% ~! n. @思路:利用SKEY
$ B9 `+ [9 \$ R6 o3 l b9 B; f4 i5 Y# \; _1 v6 @
登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。% C5 }% y7 ]4 Y
( W" v7 K& j/ e+ v( P
存在的未知,有待验证:0 l. Y) u: w/ V- K1 d2 H/ k
1 U' D0 n3 p: f. C
1.SKEY有效期 , N. q% S) ?! {2 h1 u" Y! P
5 I# U% J8 R6 }3 q
估计是一天
6 D5 L4 n# G9 @; R0 t% I) H5 |& j3 `7 b$ t0 w7 e, @. v( {9 Z$ W
2.SKEY与IP是否绑定
f2 X2 Y0 ]# z8 c
; c$ _% c# m7 I! b9 U; s应该有绑定
9 T* _" v9 G5 L3 j( H
, Z4 o! L5 F* X5 F" }
) u1 s. r/ ]; F Y, y
k! m% C- q/ B( n \# k来看下面抓到的HTTP请求头:! n' z4 ?' T9 S
3 Z, F. K; {$ R" j* |. s/ K
GET / HTTP/1.1
5 G, k8 ^3 |. d. L" \% l( o4 rCookie: skey=@njGHHthuc; uin=o126******2;7 ]$ q- @0 u, i, C+ O5 h
Accept: image/jpeg, */*
- y5 w: l3 g- T+ p( ^' {Referer: qzone.qq.com- T) T9 y- g% @# i$ Z3 s( Y
Accept-Language: zh-cn/ Z& K0 g7 u, d
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)$ [# W! [7 `1 P7 j; ]" I; B
Host: qz.qq.com# ^5 g0 I2 Q" I }" o1 Q5 r( h
Cache-Control: no-cache
' M9 S% N/ _3 r+ F( {
" n5 k9 j9 ]. B2 {; m: j如果一切顺利,就会我们想要的页面。
% R6 G% p% e) K: n5 y$ @! u+ S& \
# o* H8 W( H9 s/ H3 k- m' Q |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主