日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

qq空間電腦版登錄入口手機 qq空間電腦版登陸入口( 二 )

云知道


首先通過抓包獲取到cookie信息中的uin值和skey

qq空間電腦版登錄入口手機 qq空間電腦版登陸入口


然后我使用curl命令通過發(fā)表說說的api向服務(wù)器發(fā)送一個包,包內(nèi)容如下:
Curl命令執(zhí)行過后,會在我的空間就自動發(fā)了一條說說:this is a test
由此想到了之前的天涯病毒營銷系統(tǒng),它是通過服務(wù)端配置中間收信網(wǎng)站后生成客戶端,當用戶點擊客戶端樣本后,其客戶端樣本使用WebBrowser控件加載QQ郵箱快速登錄,再利用自動填表的方式讓軟件自動點擊“快速登錄”按鈕,進而可以得到本機QQ當前登錄的Client Key,然后將QQ號和ClientKey提交到遠程服務(wù)器上,服務(wù)端即可通過該ClientKey進行QQ登錄操作,登錄之后具有訪問QQ空間,QQ郵箱,財付通,修改個人資料,上傳文件到QQ群共享等操作 。這里的ClientKey和skey其功能相同,都是一個權(quán)限代碼 。
修復(fù)方案和建議
針對用戶,不要隨意點擊一些不良網(wǎng)站信息,如果不小心中招,解決方法就是快速退出空間,如果是手機登錄的話就要退出QQ,重新登陸QQ,這樣會產(chǎn)生新的skey,原來的skey就失效了 。如果只是單純的刷新網(wǎng)頁,或者關(guān)掉手機QQ空間,則不會改變skey 。
針對漏洞廠商,要檢測所有接口的輸入?yún)?shù),進行嚴格過濾,防止XSS漏洞的產(chǎn)生;同時要對數(shù)據(jù)請求來源進行判斷,非同源數(shù)據(jù)過濾掉,從而防止CSRF攻擊 。
-來自freebuf
碉堡了科技2015
標簽: Qzone hack
Copyright ? 2015 – Jay Ma – Powered By doudoujay.com – Theme By Jay Ma
Github

推薦閱讀