|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。
; ], o6 ^5 \/ E! _5 F' J; b; n9 G; P) Z2 ^' Z g2 M
前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。
# V' r+ J. }% U' \$ ^% ]1 G, l$ X5 h! D
作为安全人员,从技术角度提一些个人看法。仅供参考。
* y4 o4 y9 ]+ G, {% @
8 q! e4 X3 a& r2 S4 M E Z8 H* X- Q; m) D) t* F7 a# T
! J2 J0 _3 z& E6 g4 F8 |
思路:利用SKEY3 m1 j, r& l2 _, r
* t0 D7 y5 A' a: k
登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。
" k* V' `9 G$ ]
$ b4 H6 k7 p* m存在的未知,有待验证:
% @( ~5 j1 Z7 x: G) n
* t j: H2 x4 N& U; D' h. B1.SKEY有效期
: `9 O2 C; }' P
/ W" i: M$ x5 X- ^5 Z& v4 E( i- t估计是一天
v* r9 K' f" d5 H0 w
. F% U6 H- c: {$ x7 i8 U4 g2.SKEY与IP是否绑定: n$ z- x3 g0 a+ m* l
! E: Q1 F$ T3 _3 U
应该有绑定
, f# [: i7 q4 f, |1 {; G. R8 J; Q% g* A5 t" r, {+ q
; u/ O5 D' ^% e+ X {& z1 c# F" H
( w! z* Z9 ?0 u( o s" x8 o$ a来看下面抓到的HTTP请求头:
: A7 ]0 w5 o! T% [$ x. K4 X' f1 s ]$ l8 x/ L. f- ]6 R# \7 X
GET / HTTP/1.1
% |6 B: L2 D8 f) q- [1 u. }Cookie: skey=@njGHHthuc; uin=o126******2;2 d* S+ W' R/ p: I( W, J
Accept: image/jpeg, */*8 N, W8 A/ Z, Q1 O, w- M9 }2 X* t
Referer: qzone.qq.com- \+ v. v' s4 B y& s
Accept-Language: zh-cn7 [+ ~* J& F, M4 _7 } A
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0). L( @3 ?1 F: Z& }$ O1 { e/ x
Host: qz.qq.com
, j, n1 w$ X) X5 u$ A$ ^0 H+ _Cache-Control: no-cache: A H# m! j( ^' }. \
; v' E, q Y' R! ^5 e如果一切顺利,就会我们想要的页面。7 i1 b# u5 t o z: c% M7 A4 ^) [% T
1 P* O3 p$ U/ N8 h
|
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主