|
前段時(shí)間分享了關(guān)于QQSkey權(quán)限的安全與防范���,今天我們再來探討另一權(quán)限代碼大法:不用密碼也能直接登陸你的QQ空間、并且輕松拿到QQ空間主人管理權(quán)限�����! 簡單原理 當(dāng)我們從電腦QQ上直接進(jìn)入QQ空間時(shí)�,會(huì)發(fā)現(xiàn)不用登陸就可以直接進(jìn)入自己的空間�,這是如何實(shí)現(xiàn)的����?很簡單,QQ在調(diào)用瀏覽器打開空間時(shí)會(huì)傳入一個(gè)用于自動(dòng)登陸的 URL(網(wǎng)址)�����。 QQ空間服務(wù)器就是通過這個(gè)URL傳入的 ClientKey 來驗(yàn)證以及識(shí)別用戶權(quán)限的�,如果你的權(quán)限碼被別人拿到了,那么別人就可以輕易登陸你的QQ空間��,即使沒有密碼也可以辦到����! 實(shí)戰(zhàn)驗(yàn)證 干說不練假大空,為了讓童鞋們獲知QQ ClientKey 帶來的安全隱患����,我們來簡單測試一下。 很多朋友沒有清理瀏覽器歷史訪問記錄的習(xí)慣�����,而這恰恰給有心之人拿到權(quán)限碼的可乘之機(jī),要是私人電腦還好��,如果是公共電腦����,比如網(wǎng)吧、單位�,或別人的電腦等等那就小心了~ 在瀏覽器地址欄輸入【qq】兩個(gè)字母,看看會(huì)發(fā)生什么��? 
你會(huì)發(fā)現(xiàn)地址欄中出現(xiàn)了一個(gè) ssl.ptlogin2.qq.com 的網(wǎng)址�����,這個(gè)地址就是用于QQ直接調(diào)用自動(dòng)登陸的驗(yàn)證URL��,一旦這個(gè)驗(yàn)證地址被別人拿到了���,別人也就可以自動(dòng)登陸你的空間�! Tips:當(dāng)然這個(gè)驗(yàn)證URL有一定的時(shí)效性����,如果你的QQ已經(jīng)下線或者過期就可能會(huì)失效! 封堵隱患 如果你經(jīng)常在公共電腦上使用QQ����,請養(yǎng)成良好的清理上網(wǎng)記錄習(xí)慣,比如 360瀏覽器等等�����,可以直接使用 Ctrl+Shift+Delete 快捷鍵來清理上網(wǎng)痕跡�����。 最方便的方法就是�,勾選“退出瀏覽器時(shí)完全清除痕跡”! 
責(zé)任編輯/無聲
|
