最新QQ Skey权限终极打破运用与防备

宣布于 2016-11-5 19:59 | 阅读 15498

几年前随手写的一个关于QQ权限代码打破测验东西,没想到至今还有不少童鞋前来索要。。所以今日再来总结一下QQ的Skey权限的终极打破运用办法,以及对应的安全防备对策。

简略了解

所谓的“Skey”代码其实便是对应你的QQ权限与服务器交互的暗号,一起也是网页Cookie的一部分,当你经过网页登陆QQ后,服务器便会经过这个暗号辨认你的QQ权限状况。

尽管Skey代码并非明文暗码,可是一旦走漏或许被坏人歹意运用,就能够容易拿到你的QQ管理权,比方宣布说说、检查隐私相册、个人信息等等。结果很严重~

测验验证

上面说到Skey其实便是阅读器会话Cookie的一部分,所以只需将Skey代码“植入”,就能够假装正常的会话恳求,即可拿到对应的QQ权限,其本质上其实便是Cookie诈骗的意图。

能够植入Cookie到阅读器的办法许多,这儿最简略的办法便是运用阅读器自带的控制台功用即可完成。以360阅读器为例,翻开 ,按 F12 快捷键进入“Console”功用,这儿能够随意操作JS代码函数,用以设置Skey/Cookie代码。

setCookie('skey','@xxx')  //其间 xxx 为对应QQ号的skey代码

经过阅读器的控制台,便可写入cookies

安全防备

许多朋友的QQ空间莫名被黑,宣布了不良说说,乃至导致空间被封... 呈现这种状况不一定真的是你的QQ暗码走漏了,也有或许是Skey,也便是网页会话Cookie被坏人歹意盗取绑架了。当然不管是哪种状况,都要第一时间修正QQ暗码,以防万一!

那么Skey是经过何种方法有或许走漏呢?

  • 阅读器被植入后门插件,插件尽管带来了便利一起也留下了危险
  • 路由器被绑架DNS、会话,默许的路由弱口令暗码你修正了吗?
  • 运营商通讯链路绑架,尽量挑选电信/联通等一级宽带提供商吧,不得不防
  • 电脑或手机中毒,裸奔不是你的错,不装杀软便是你的不对咧~
  • Hosts(dns)被篡改,正常的网络拜访恳求到了垂钓网站,手机电脑全中招
  • 内网ARP绑架,现在蹭网客十分盛行,当心免费WiFi有玄机
  • 公共电脑脱离后,假如登陆了QQ空间等网站,一定要封闭阅读器

(原创文章版权所有,如需转载请注明原文链接!)