简单了解
所谓的“Skey”代码其实就是对应你的QQ权限与服务器交互的暗号,同时也是网页Cookie的一部分,当你通过网页登陆QQ后,服务器便会通过这个暗号识别你的QQ权限状态。
虽然Skey代码并非明文密码,但是一旦泄漏或者被坏人恶意利用,就可以轻易拿到你的QQ管理权,比如发表说说、查看隐私相册、个人信息等等。后果很严重~
测试验证
上面提到Skey其实就是浏览器会话Cookie的一部分,所以只需将Skey代码“植入”,就可以伪装正常的会话请求,即可拿到对应的QQ权限,其本质上其实就是Cookie欺骗的目的。
可以植入Cookie到浏览器的方法很多,这里最简单的方法就是利用浏览器自带的控制台功能即可实现。以360浏览器为例,打开 http://qzone.qq.com/ ,按 F12 快捷键进入“Console”功能,这里可以随意操作JS代码函数,用以设置Skey/Cookie代码。
安全防范
很多朋友的QQ空间莫名被黑,发表了不良说说,甚至导致空间被封... 出现这种情况不一定真的是你的QQ密码泄漏了,也有可能是Skey,也就是网页会话Cookie被坏人恶意窃取劫持了。当然不管是哪种情况,都要第一时间修改QQ密码,以防万一!
那么Skey是通过何种方式有可能泄漏呢?
浏览器被植入后门插件,插件虽然带来了方便同时也留下了隐患
路由器被劫持DNS、会话,默认的路由弱口令密码你修改了吗?
运营商通信链路劫持,尽量选择电信/联通等一级宽带提供商吧,不得不防
电脑或手机中毒,裸奔不是你的错,不装杀软就是你的不对咧~
Hosts(dns)被篡改,正常的网络访问请求到了钓鱼网站,手机电脑全中招
内网ARP劫持,现在蹭网客非常盛行,小心免费WiFi有玄机
公共电脑离开后,如果登陆了QQ空间等网站,一定要关闭浏览器
未经允许不得转载:作者:无言染爱,
转载或复制请以 超链接形式 并注明出处 无言博客。
原文地址:《最新QQ Skey权限终极突破利用与防范》 发布于2019-05-26
评论 抢沙发