再谈QQ ClientKey的突破和安全防范

来自菲菲 原创 发表于 2013-7-1 14:31:23 热度:★★★☆☆

  关于利用ClientKey代码获取主人QQ权限,在很久前本博就已经提到。直到有一天看到了“您的网络IP发生了变化,请重新验证”的登录提示,心想腾讯终于开始有所动作,对clientkey直接登录的请求加上了异地IP的安全验证……

  可是偶然一次竟发现这个所谓的IP验证确是形同虚设,有时甚至会误拦正常用户。因为利用者很容易就可以突破这个IP校验机制,原理是腾讯仅对旗下部分产品(如空间、微博等等)做了安全校验,而对其他产品则一律“放行”。。。

  举例来说,你从QQ上直接点空间图标进入网页时看到了IP变动的提示,但是若点击游戏类的图标则不会有任何提示。这就可以证实上面菲菲博客的推测是正确的。

图为网络IP变动时出现的安全提示

  【安全风险】通过ClientKey直接登陆QQ旗下网站,在QQ安全中心里我们是查不到登录记录的,甚至可以直接绕过QQ二代密保中的异地登录保护。所以很具有隐蔽性,一旦被坏人利用,对方就可以轻松获取你帐号下的所有权限,进而“为所欲为”。很多童鞋的空间被发垃圾信息很有可能就与key密钥泄漏有关。

  【几种可能会泄漏Key的情况】①公共上网场所,比如网吧或酒店;②电脑中了带有后门的木马/病毒;③遭到了ARP欺骗攻击或使用了非正规的IE代理;④网络链路存在劫持现象;⑤内网出口设备装有流量监控(可以查用户访问记录);⑥其他场景,比如被他人手工复制窃取等等。

  【修复与防范】希望腾讯方面可以尽快完善和解决这方面的安全问题,对所有的ClientKey登录请求均增加IP绑定与验证,最好key密钥用过一次即失效。切实做好用户帐号的安全保障。而我们用户也要多多关注自己QQ号码的安全,养成经常修改密码的习惯,不要使用安全不明的软件,一定要开启安全卫士或电脑管家的实时防护,定期进行体检和木马的查杀。

  ☆小技巧:说了半天可能有的小盆友还不知道ClientKey是什么呢?非常简单,当你从QQ客户端点击图标等方式进入QQ相关网站的时候,其实就是通过“http://ptlogin2.qq.com/xxx?clientuin=QQ号&clientkey=64位key字符串”这样的形式自动登陆的,这样可以免去手动登陆的麻烦。因为点击后网址跳转很快,所以一般不容易发现。【来自 菲菲博客原创】

所有原创博文版权归菲菲博客所有,转载必须注明文章出处地址:http://www.feifeiboke.com/anquan/2835.html