|
前段時間分享了關于QQSkey權限的安全與防范�����,今天我們再來探討另一權限代碼大法:不用密碼也能直接登陸你的QQ空間����、并且輕松拿到QQ空間主人管理權限����! 簡單原理 當我們從電腦QQ上直接進入QQ空間時,會發(fā)現(xiàn)不用登陸就可以直接進入自己的空間�����,這是如何實現(xiàn)的?很簡單�����,QQ在調用瀏覽器打開空間時會傳入一個用于自動登陸的 URL(網(wǎng)址)���。 QQ空間服務器就是通過這個URL傳入的 ClientKey 來驗證以及識別用戶權限的,如果你的權限碼被別人拿到了����,那么別人就可以輕易登陸你的QQ空間,即使沒有密碼也可以辦到����! 實戰(zhàn)驗證 干說不練假大空,為了讓童鞋們獲知QQ ClientKey 帶來的安全隱患����,我們來簡單測試一下。 很多朋友沒有清理瀏覽器歷史訪問記錄的習慣����,而這恰恰給有心之人拿到權限碼的可乘之機,要是私人電腦還好,如果是公共電腦�����,比如網(wǎng)吧���、單位�����,或別人的電腦等等那就小心了~ 在瀏覽器地址欄輸入【qq】兩個字母����,看看會發(fā)生什么����? 
你會發(fā)現(xiàn)地址欄中出現(xiàn)了一個 ssl.ptlogin2.qq.com 的網(wǎng)址,這個地址就是用于QQ直接調用自動登陸的驗證URL�����,一旦這個驗證地址被別人拿到了����,別人也就可以自動登陸你的空間! Tips:當然這個驗證URL有一定的時效性,如果你的QQ已經下線或者過期就可能會失效�����! 封堵隱患 如果你經常在公共電腦上使用QQ�����,請養(yǎng)成良好的清理上網(wǎng)記錄習慣���,比如 360瀏覽器等等,可以直接使用 Ctrl+Shift+Delete 快捷鍵來清理上網(wǎng)痕跡����。 最方便的方法就是,勾選“退出瀏覽器時完全清除痕跡”�����! 
責任編輯/無聲
|
