|
|
QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。
! Q& _: r9 @. s( k' G2 o- G
8 X$ |7 O$ M' |" u, `0 s( @前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。
, P1 n5 e/ B6 y# j5 }/ r8 _$ d: f8 ~* P8 I
作为安全人员,从技术角度提一些个人看法。仅供参考。: \( i, B+ f7 \$ d1 X4 v
9 O, P& N: q% g$ ^% p2 E, l4 h7 }, P
) E# q, [3 Z, L( P: i6 k思路:利用SKEY, y1 e# n, g7 r
$ k( r6 C4 s4 z6 N! X& J! d* f" \4 u
登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。( P, P2 W( i% F6 `* B
1 A& J1 y) }) T* p( w存在的未知,有待验证:
3 x/ a+ ?; P4 |0 V" r' b8 X0 _# [% Z
1.SKEY有效期 1 [. c! f) ^! z+ I" y) D
& V q7 K g6 M估计是一天
" n# L& A* N2 q
( D9 ~8 R$ J) {: e8 ^9 v9 n' _2.SKEY与IP是否绑定
: Q! {: b; E" d+ P! R% F) b6 ?1 h$ D% N% Z7 A9 @* ]
应该有绑定* M6 h, Z# R& T" {/ V: W
. O2 r" v; g( K: D
8 }" ]+ l0 B0 k7 `
8 h4 N1 Q; G9 S7 V: Z来看下面抓到的HTTP请求头:* v. _# G! ]8 J
. z8 L' c9 m( l7 P4 d+ [4 h
GET / HTTP/1.12 c/ ~. S6 m# L& V% \
Cookie: skey=@njGHHthuc; uin=o126******2;
% F8 v- F! \ y5 fAccept: image/jpeg, */*
: `5 Z9 ]1 @& _0 w# Y9 }. wReferer: qzone.qq.com6 N- Y$ _3 h8 j3 ]6 E" L1 b1 h {
Accept-Language: zh-cn" B q7 T4 P3 h# v% s) S1 I
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) A6 ]0 e% x5 F, `6 s2 x- }
Host: qz.qq.com2 Y& w5 E! `: U7 s
Cache-Control: no-cache# _+ Y3 h4 h# N. F7 P! n! p2 g
* s( M! t" N8 a/ J) c6 l, `4 j2 v) x如果一切顺利,就会我们想要的页面。
8 f6 d5 W X& M8 a% Q c7 M
( o0 P5 s6 w2 g |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2019-10-30 15:05:19
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡
楼主