再谈QQ ClientKey的打破和安全防备

发表于 2013-7-1 14:31 | 阅读 2192

  关于运用ClientKey代码获取主人QQ权限,在好久前本博就现已说到。直到有一天看到了“您的网络IP发生了改变,请从头验证”的登录提示,心想腾讯总算开端有所动作,对clientkey直接登录的恳求加上了异地IP的安全验证……

  可是偶尔一次竟发现这个所谓的IP验证确是形同虚设,有时乃至会误拦正常用户。由于运用者很简略就能够打破这个IP校验机制,原理是腾讯仅对旗下部分产品(如空间、微博等等)做了安全校验,而对其他产品则一概“放行”。。。

  举例来说,你从QQ上直接点空间图标进入网页时看到了IP变化的提示,可是若点击游戏类的图标则不会有任何提示。这就能够证明上面万博manbetx官网网的估测是正确的。

图为网络IP变化时呈现的安全提示

  【安全危险】经过ClientKey直接登陆QQ旗下网站,在QQ安全中心里咱们是查不到登录记载的,乃至能够直接绕过QQ二代密保中的异地登录维护。所以很具有隐蔽性,一旦被坏人运用,对方就能够轻松获取你帐号下的一切权限,从而“随心所欲”。许多童鞋的空间被发废物信息很有或许就与key密钥走漏有关。

  【几种或许会走漏Key的状况】①公共上网场所,比方网吧或酒店;②电脑中了带有后门的木马/病毒;③遭到了ARP诈骗进犯或运用了非正规的IE署理;④网络链路存在绑架现象;⑤内网出口设备装有流量监控(能够查用户拜访记载);⑥其他场景,比方被他人手艺仿制盗取等等。

  【修正与防备】期望腾讯方面能够赶快完善和处理这方面的安全问题,对一切的ClientKey登录恳求均添加IP绑定与验证,最好key密钥用过一次即失效。切实做好用户帐号的安全保证。而咱们用户也要多多重视自己QQ号码的安全,养成常常修正暗码的习气,不要运用安全不明的软件,一定要敞开安全卫士或电脑管家的实时防护,定时进行体检和木马的查杀。

  ☆小技巧:说了半天或许有的小盆友还不知道ClientKey是什么呢?十分简略,当你从QQ客户端点击图标等方法进入QQ相关网站的时分,其实便是经过“http://ptlogin2.qq.com/xxx?clientuin=QQ号&clientkey=64位key字符串”这样的方法主动登陆的,这样能够免除手动登陆的费事。由于点击后网址跳转很快,所以一般不简略发现。【来自 万博manbetx官网网原创】

(原创文章版权一切,如需转载请注明原文链接!)