利用QQ的cookie破解空间主人权限

社区服务
高级搜索
猴岛论坛QQ微信技术利用QQ的cookie破解空间主人权限
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
5个回复

[QQ技术]利用QQ的cookie破解空间主人权限

楼层直达
颜 

ZxID:1993

等级: 禁止发言

举报 只看楼主 使用道具 楼主   发表于: 2012-10-16 0
利用QQ的cookie破解空间主人权限

在本博客上一篇文章中给大家讲到了利用skey突破QQ登录权限的原理,但是并未详细说明具体的利用方法。话说昨夜突然“灵光一闪”,在我的脑海里猛地立马就想到了如何去巧妙的利用QQ的登录cookie,破解空间主人的管理权限。当然仅供技术探讨,不要干坏事儿哦!
  首先我们先把如何“窃取”他人QQ的cookie先放一边(后面菲菲会一一来讲解的,其实方法和思路有很多很多的)。重点来说一下如果得到别人QQ的登录cookie(其中包含skey密钥),该怎么用!
  当然一些基础的东东还是要给大家讲清楚的,在浏览器的网页上登录QQ时(比如登录QZone),浏览器是怎么记录和保持你的登录状态呢?没错,就是cookie。而且腾讯为了安全,关系到QQ账户安全的cookie密钥(skey会话)是存放于浏览器进程的内存中的,这样其他程序就无法读取到了。
  既然读取不到,我们是不是就无法自定义修改这些QQ的cookie登录密钥了呢?表明上看是天衣无缝,这里就是我们突破的关键所在了,于是乎灵光再次突闪,思路终于打开了!浏览器的cookie同源安全策略我们是无法改变的,但是我们可以用qq.com域名的对应关系“欺骗”浏览器来自定义修改存放于内存中的cookie密钥!
  在这里我们的hosts文件又派上用场啦,使用记事本打开hosts,添加一条记录如下:127.0.0.1 qq.com 。然后打开asp本地服务器(想不到这个小工具还能用在这儿,神器哇!),在同目录下使用JavaScript脚本(或其他网页编程语言)创建你想要的cookie。完成后浏览器访问qq.com,你的自定义包含有skey密钥的cookie就被记录在了浏览器内存中,这时直接输入空间地址访问,就可以得到你自定义的对应主人cookie的空间管理权限了。有了主人权限,神马加密相册、无权访问都浮云啦!!【菲菲博客原创博文,转载请注明出处链接】
◆关于QQ登录cookie的安全防范:
  一方面需要腾讯加强自身WEB平台的安全架构,严防XSS漏洞,充分保障QQ账户的安全,不仅仅是密码的问题,对于本地的cookie验证同样做到异地检测,如发现异常直接Close!
  另外我们QQ忠实的用户自己也应该多多关注一些关于QQ安全防范的常识(尤其是多多在菲菲博客的栏目里学习一下攻防的知识,知己知彼嘛!)。不点他人发来的来路不明的链接,不用安全未知的辅助工具,不上有害青少年“心理健康”的网站等等……

际遇之神

惩罚

在路边摆摊,遇到城管,损失DB3

 Solitarily°

ZxID:17826425


举报 只看该作者 沙发   发表于: 2012-10-16 0
你自己都不懂吧
Fuck丶Mht。

ZxID:20967367

等级: 中校
举报 只看该作者 板凳   发表于: 2012-10-16 0
不行。。   密钥错误、 网页读取不到。

际遇之神

奖励

突然被神秘光线击中,坠入时光隧道,获得1DB1猪头术

   北梦 °

ZxID:17214797

等级: 禁止发言

举报 只看该作者 地板   发表于: 2012-10-16 0
菲菲俩字出卖了你。
瞳孔若有

ZxID:20632223

等级: 中尉
╔━━━━━━━━╗ ┃爱猴岛、爱阿狸っ┃ ╚━━━━━━━━╝
举报 只看该作者 4楼  发表于: 2012-10-16 0
= =这非原创。
TEL小志

ZxID:20402167

等级: 少将

举报 只看该作者 5楼  发表于: 2012-10-16 0
不懂
« 返回列表
发帖 回复