首先通过抓包获取到cookie信息中的uin值和skey
然后我使用curl命令通过发表说说的api向服务器发送一个包,包内容如下:
Curl命令执行过后,会在我的空间就自动发了一条说说:this is a test
由此想到了之前的天涯病毒营销系统,它是通过服务端配置中间收信网站后生成客户端,当用户点击客户端样本后,其客户端样本使用WebBrowser控件加载QQ邮箱快速登录,再利用自动填表的方式让软件自动点击“快速登录”按钮,进而可以得到本机QQ当前登录的Client Key,然后将QQ号和ClientKey提交到远程服务器上,服务端即可通过该ClientKey进行QQ登录操作,登录之后具有访问QQ空间,QQ邮箱,财付通,修改个人资料,上传文件到QQ群共享等操作 。这里的ClientKey和skey其功能相同,都是一个权限代码 。
修复方案和建议
针对用户,不要随意点击一些不良网站信息,如果不小心中招,解决方法就是快速退出空间,如果是手机登录的话就要退出QQ,重新登陆QQ,这样会产生新的skey,原来的skey就失效了 。如果只是单纯的刷新网页,或者关掉手机QQ空间,则不会改变skey 。
针对漏洞厂商,要检测所有接口的输入参数,进行严格过滤,防止XSS漏洞的产生;同时要对数据请求来源进行判断,非同源数据过滤掉,从而防止CSRF攻击 。
-来自freebuf
碉堡了科技2015
标签: Qzone hack
Copyright ? 2015 – Jay Ma – Powered By doudoujay.com – Theme By Jay Ma
Github
推荐阅读
- 360数据恢复大师 360数据恢复大师免费版
- 行李箱太紧会压坏电脑吗
- windows截取部分屏幕 windows截图
- 锁屏快捷相机怎么关闭 锁屏快捷
- 赛博朋克2077白虎刀如何弄到-白虎刀新版本强度评价
- qq快捷键截图保存在哪里 qq截图保存在电脑哪里
- 斗罗大陆动画228集在线观看地址 斗罗大陆228集免费观看完整版
- 一乡之长1998版在线观看 一乡之长
- word多级列表自动编号怎么不自动增加 word多级列表
- 杂牌笔记本电脑有哪些牌子 杂牌笔记本电脑排名