小心QQ快速登录功能导致QQ被盗

发表于 2012-10-29 21:57 | 浏览 622

  可能大多童鞋会认为使用QQ辅助类的程序时,通过QQ的快速登录功能(无需帐号密码)直接在线网页登录会很安全。其实不然,不管你采用什么样的登录方式,如果软件留有“后门”,你的QQ帐号必定被盗无疑!

  为了让菲菲·博客的朋友们多学点儿东西,我们先来看一下腾讯的网页快速登录原理:其实在安装QQ时,腾讯QQ的快速登录控件(npSSOAxCtrlForPTLogin.dll)就已经帮你装好了(位于C:\Program Files\Common Files\Tencent\TXSSO目录下),当进入需要登录QQ的网页后,这些相关组件就会自动加载到浏览器进程中,点击“快速登录”,浏览器就会向腾讯登录服务器 http://ptlogin2.qq.com/jump 以clientkey的方式GET请求,然后验证无误则返回身份认证cookie,成功登录。说的更简单一些,其实就是和你点击QQ上的图标自动登录原理完全一样。

  好,明白了基本的原理,这里菲菲随手提供一个易语言编写的QQ安全演示程序(附送易源码),大家一看就明白了。也就是说不管你是手动输入密码登录也好,还是快速登录也罢,最终的结果都是一样的,就是均有泄漏身份验证密钥skey的风险,再配合我前面分享过的Skey利用工具就可以轻易获得你的QQ帐号权限。

菲菲小贴士:如果你不慎使用了一些可疑或者有可能带有后门的QQ工具,建议立即修改密码,这样原有的skey就会失效!【万博体育APP下载,万博体育APP网·原创教程】

附件:QQ安全测试程序+源码.rar 【注:仅供同学们测试研究,实际并无危害!程序+源码+模块一起打包!】

(原创文章版权所有,如需转载请注明原文链接!)