分析“QQ空间”自动转发不良信息
大家有时打开某网页或是扫描二维码又或是运行某应用程序后
经常会看到QQ空间会自动转发说说,即使我们并没有输入QQ账号及QQ密码
今天我们来分析其原理得知其转发机制
转发机制
应用程序
- 某说说吸引了客户主动下载并运行了程序A
- 程序A运行后在后台通过各种途径获取到了本机QQ的Cookies
- 该程序在后台利用获取到的Cookies免密码登录了QQzone,并发送一条包括一段预先写好吸引客户的文字及程序A的下载链接的说说
- 该说说吸引了更多客户主动下载并运行了程序A;
既然软件编程能做到这些,我想网页编程自然也可以实现。
网页
我想大概是因为TX的某个产品的某个页面下存在一个XSS漏洞,由于没有对请求参数做严格检查
通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码,同时服务器没有对请求来源进行检测,因此可以造成CSRF攻击。
一般标签style为隐藏属性,从而使得该插入页面不会被用户发现,插入的页面链接就是构造好的url地址。
当页面被加载时,页面通过这个url接口向服务器发送一个请求,服务器没有对请求来源进行效验,直接将请求的数据返回 然后通过插入的代码,获取用户的cookie,然后从中提取uin值和skey值,通过抓包可以看到
再使用curl命令通过发表说说的api向服务器发送一个包,就可以达到自动发送说说的目的了
利用Skey进行敏感操作
Skey 是一次性口令,服务器为每个用户建立一个skey作为用户的权限代码,服务器验证该值即可获取用户的一些权限操作
该值会被浏览器记录在cookie信息中,只要用户不退出登录就会有效。也就是说如果获得一个QQ号码的Skey代码
也就相应的拿到了对方QQ登陆和管理权限,通过调用相应的操作接口API,即可不通过用户密码实现对用户空间,相册的访问权限,同时也可以发表说说,删除留言等一些敏感操作。
预防方法
最好的办法就是不要随意点击一些不良网站信息,如果不小心中招,解决方法就是快速退出空间
如果是手机登录的话就要退出QQ,重新登陆QQ,这样会产生新的skey,原来的skey就失效了。
如果是单纯的刷新网页,并不会使skey失效。
版权属于:Xcnte' s Blog(除特别注明外) 本文链接:https://www.xcnte.com/archives/7/ 本站文章采用 知识共享署名4.0 国际许可协议 进行许可,请在转载时注明出处及本声明!
相关文章
- 三分钟回顾,2021年11月无人机领域动态一览
- 开发者欣慰:苹果表软件圣诞表现不错
- 三分钟回顾,2021年11月自动驾驶行业全动态一览
- 都2016了,独立游戏站起来了吗?
- 数据分析八大模型:详解PEST模型
- CES2016前瞻:都有哪些技术会成为热点?
- Go语言核心36讲(Go语言实战与应用二十三)--学习笔记
- AI高速发展,它们能取代人与人的互动吗?
- 具有自我关注的多尺度图卷积网络
- 这一次,VR离我们真的很近?
- 人工智能:发现纳米尺度的细胞结构
- 人工智能和增强现实如何在工作场所发展
- 神经能量卡西米尔控制
- 数字化转型时期的五大工业机器人发展趋势
- 基于学习的稳健线性时变控制器的合成
- 机器人技术如何帮助环境友好型建筑
- 鏗鏘集:针对无标签物联网传感器流的实用时间序列划分算法
- 一个不懂技术的产品经理怎么在科技公司立足?
- 分子图上可扩展的几何深度学习
- RafterNet:多反应回归中的概率预测