admin管理员组

文章数量:1531695


QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。

前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。

作为安全人员,从技术角度提一些个人看法。仅供参考。


思路一:利用SKEY

基本方法可以见 http://www.phpzhuji/a/news/dongtai/2014/1111/115528.html

登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。

存在的未知,有待验证:

1.SKEY有效期 

估计是一天

2.SKEY与IP是否绑定

应该有绑定


来看下面抓到的HTTP请求头:

GET / HTTP/1.1
Cookie: skey=@njGHHthuc; uin=o126******2;
Accept: image/jpeg, */*
Referer: qzone.qq
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Host: qz.qq
Cache-Control: no-cache

如果一切顺利,就会我们想要的页面。


利用的方法:获取Cookie中的SKEY

本文标签: 思路权限空间qq

版权声明:本文标题:QQ空间权限限制破解思路 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1725785523a1042633.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。