无需密码直接获取你的QQ空间主人权限

发表于 2016-11-14 21:39 | 浏览 6164

前段时间分享了关于QQSkey权限的安全与防范,今天我们再来探讨另一权限代码大法:不用密码也能直接登陆你的QQ空间、并且轻松拿到QQ空间主人管理权限!

简单原理

当我们从电脑QQ上直接进入QQ空间时,会发现不用登陆就可以直接进入自己的空间,这是如何实现的?很简单,QQ在调用浏览器打开空间时会传入一个用于自动登陆的 URL(网址)。

QQ空间服务器就是通过这个URL传入的 ClientKey 来验证以及识别用户权限的,如果你的权限码被别人拿到了,那么别人就可以轻易登陆你的QQ空间,即使没有密码也可以办到!

实战验证

干说不练假大空,为了让童鞋们获知QQ ClientKey 带来的安全隐患,我们来简单测试一下。

很多朋友没有清理浏览器历史访问记录的习惯,而这恰恰给有心之人拿到权限码的可乘之机,要是私人电脑还好,如果是公共电脑,比如网吧、单位,或别人的电脑等等那就小心了~

在浏览器地址栏输入【qq】两个字母,看看会发生什么?

ptlogin开头的网址可以直接登陆空间

你会发现地址栏中出现了一个 ssl.ptlogin2.qq.com  的网址,这个地址就是用于QQ直接调用自动登陆的验证URL,一旦这个验证地址被别人拿到了,别人也就可以自动登陆你的空间!

Tips:当然这个验证URL有一定的时效性,如果你的QQ已经下线或者过期就可能会失效!

封堵隐患

如果你经常在公共电脑上使用QQ,请养成良好的清理上网记录习惯,比如 360浏览器等等,可以直接使用 Ctrl+Shift+Delete 快捷键来清理上网痕迹。

最方便的方法就是,勾选“退出浏览器时完全清除痕迹”!

最好养成经常清理浏览器访问记录的习惯