最新QQ Skey权限终极突破利用与防范

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

简单了解

所谓的“Skey”代码其实就是对应你的QQ权限与服务器交互的暗号,同时也是网页Cookie的一部分,当你通过网页登陆QQ后,服务器便会通过这个暗号识别你的QQ权限状态。

虽然Skey代码并非明文密码,但是一旦泄漏或者被坏人恶意利用,就可以轻易拿到你的QQ管理权,比如发表说说、查看隐私相册、个人信息等等。后果很严重~

测试验证

上面提到Skey其实就是浏览器会话Cookie的一部分,所以只需将Skey代码“植入”,就可以伪装正常的会话请求,即可拿到对应的QQ权限,其本质上其实就是Cookie欺骗的目的。

可以植入Cookie到浏览器的方法很多,这里最简单的方法就是利用浏览器自带的控制台功能即可实现。以360浏览器为例,打开 http://qzone.qq.com/ ,按 F12 快捷键进入“Console”功能,这里可以随意操作JS代码函数,用以设置Skey/Cookie代码。

最新QQ Skey权限终极突破利用与防范

安全防范

很多朋友的QQ空间莫名被黑,发表了不良说说,甚至导致空间被封... 出现这种情况不一定真的是你的QQ密码泄漏了,也有可能是Skey,也就是网页会话Cookie被坏人恶意窃取劫持了。当然不管是哪种情况,都要第一时间修改QQ密码,以防万一!

那么Skey是通过何种方式有可能泄漏呢?

浏览器被植入后门插件,插件虽然带来了方便同时也留下了隐患
路由器被劫持DNS、会话,默认的路由弱口令密码你修改了吗?
运营商通信链路劫持,尽量选择电信/联通等一级宽带提供商吧,不得不防
电脑或手机中毒,裸奔不是你的错,不装杀软就是你的不对咧~
Hosts(dns)被篡改,正常的网络访问请求到了钓鱼网站,手机电脑全中招
内网ARP劫持,现在蹭网客非常盛行,小心免费WiFi有玄机
公共电脑离开后,如果登陆了QQ空间等网站,一定要关闭浏览器

未经允许不得转载:作者:无言染爱, 转载或复制请以 超链接形式 并注明出处 无言博客
原文地址:《最新QQ Skey权限终极突破利用与防范》 发布于2019-05-26

分享到:
赞(0)

评论 抢沙发

3 + 8 =


最新QQ Skey权限终极突破利用与防范

长按图片转发给朋友

Vieu4.0主题
专业打造轻量级个人企业风格博客主题!专注于前端开发,全站响应式布局自适应模板。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册