【有有资源网】QQ频道专业的QQ技术,QQ活动,QQ图标,QQ网名,QQ签名,QQ头像,QQ表情等资源
日期:2017/1/18 14:23:47来源分类:QQ技术
前段时间分享了关于QQSkey权限的安全与防范,今天我们再来探讨另一权限代码大法:不用密码也能直接登陆你的QQ空间、并且轻松拿到QQ空间主人管理权限!
简单原理
当我们从电脑QQ上直接进入QQ空间时,会发现不用登陆就可以直接进入自己的空间,这是如何实现的?很简单,QQ在调用浏览器打开空间时会传入一个用于自动登陆的 URL(网址)。
QQ空间服务器就是通过这个URL传入的 ClientKey 来验证以及识别用户权限的,如果你的权限码被别人拿到了,那么别人就可以轻易登陆你的QQ空间,即使没有密码也可以办到!
实战验证
干说不练假大空,为了让童鞋们获知QQ ClientKey 带来的安全隐患,我们来简单测试一下。
很多朋友没有清理浏览器历史访问记录的习惯,而这恰恰给有心之人拿到权限码的可乘之机,要是私人电脑还好,如果是公共电脑,比如网吧、单位,或别人的电脑等等那就小心了~
在浏览器地址栏输入【qq】两个字母,看看会发生什么?
你会发现地址栏中出现了一个 ssl.ptlogin2.qq.com 的网址,这个地址就是用于QQ直接调用自动登陆的验证URL,一旦这个验证地址被别人拿到了,别人也就可以自动登陆你的空间!
Tips:当然这个验证URL有一定的时效性,如果你的QQ已经下线或者过期就可能会失效!
封堵隐患
如果你经常在公共电脑上使用QQ,请养成良好的清理上网记录习惯,比如 360浏览器等等,可以直接使用 Ctrl+Shift+Delete 快捷键来清理上网痕迹。
最方便的方法就是,勾选“退出浏览器时完全清除痕迹”!
Copyright 有有资源网 版权所有 黑ICP备16886789号
声明:本站所有文章来自互联网,如有侵权请联系网站管理