|
|
關于利用ClientKey代碼獲取主人QQ權限��,在很久前本博就已經提到。直到有一天看到了“您的網絡IP發生了變化�����,請重新驗證”的登錄提示����,心想騰訊終于開始有所動作,對clientkey直接登錄的請求加上了異地IP的安全驗證……
可是偶然一次竟發現這個所謂的IP驗證確是形同虛設��,有時甚至會誤攔正常用戶��。因為利用者很容易就可以突破這個IP校驗機制��,原理是騰訊僅對旗下部分產品(如空間、微博等等)做了安全校驗�����,而對其他產品則一律“放行”��。��。。
舉例來說����,你從QQ上直接點空間圖標進入網頁時看到了IP變動的提示����,但是若點擊游戲類的圖標則不會有任何提示����。這就可以證實上面菲菲博客的推測是正確的��。
qqdlts.png (10.85 KB, 下載次數: 631)
下載附件
qqdlts.png
2014-7-21 13:38 上傳
【安全風險】通過ClientKey直接登陸QQ旗下網站�����,在QQ安全中心里我們是查不到登錄記錄的,甚至可以直接繞過QQ二代密保中的異地登錄保護����。所以很具有隱蔽性��,一旦被壞人利用����,對方就可以輕松獲取你帳號下的所有權限�����,進而“為所欲為”����。很多童鞋的空間被發垃圾信息很有可能就與key密鑰泄漏有關�����。
【幾種可能會泄漏Key的情況】①公共上網場所�����,比如網吧或酒店;②電腦中了帶有后門的木馬/病毒��;③遭到了ARP欺騙攻擊或使用了非正規的IE代理��;④網絡鏈路存在劫持現象;⑤內網出口設備裝有流量監控(可以查用戶訪問記錄);⑥其他場景,比如被他人手工復制竊取等等。
【修復與防范】希望騰訊方面可以盡快完善和解決這方面的安全問題,對所有的ClientKey登錄請求均增加IP綁定與驗證�����,最好key密鑰用過一次即失效����。切實做好用戶帳號的安全保障。而我們用戶也要多多關注自己QQ號碼的安全,養成經常修改密碼的習慣����,不要使用安全不明的軟件��,一定要開啟安全衛士或電腦管家的實時防護,定期進行體檢和木馬的查殺。
☆小技巧:說了半天可能有的小盆友還不知道ClientKey是什么呢�����?非常簡單����,當你從QQ客戶端點擊圖標等方式進入QQ相關網站的時候,其實就是通過“http://ptlogin2.qq.com/xxx?clientuin=QQ號&clientkey=64位key字符串”這樣的形式自動登陸的����,這樣可以免去手動登陸的麻煩�����。因為點擊后網址跳轉很快,所以一般不容易發現�����!緛碜 菲菲博客原創】
??,?,?QQ 遠程控制軟件,灰鴿子下載 |
|
加載中...
發表于 2014-7-21 13:38:44
QQ好友和群
收藏
發表于 2014-7-25 22:54:17