灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 10677|回复: 0

QQ2012存在泄漏skey密钥的风险[安全提示]远程控制软件,灰鸽子下载

[复制链接]
发表于 2014-9-19 22:03:37 | 显示全部楼层 |阅读模式
  很久木有打开过QQ的安全功能了,刚才无意中随便点了几下,居然发现QQ2012正式版可能存在泄漏账户登录密钥(skey)的风险,漏洞不知算上算不上,但是这个“点”一旦被恶意利用,就会给自己的QQ帐号安全带来很大的隐患!
  一:操作详细步骤:
  1、通过QQ主面板下方的安全图标(圈子和查找的左边)打开腾讯QQ的安全沟通界面,在进入“安全软件”选项;
  2、然后就会看到“立即下载”的链接(菲菲博客使用的是最新的QQ2012正式版5058),点击下载后,看到有什么发现有木有?没错,你的QQ帐号识别密钥skey码竟然出现在了浏览器的地址栏上了,同时出现下载文件的提示。


  3、果断输入到QQ skey利用工具上,一测试果然没问题直接无视密码直接突破进入。。
  二:漏洞总结和修复:
  一个提供下载安全防护板QQ的链接,没有必要用到skey验证,更不能直接显示在URL上,如果实在需要验证QQ帐号的合法性,建议使用和其他自动登录方式一致的更安全的clientkey码来验证(这个实现起来可能会有难度,相信QQ的工程师也评估?,??.?过)。
  简单看了一下,整个QQ安全功能的网页框架内都是直接调用skey来实现同步网页登录的。最后初步判定QQ客户端中内嵌的网页框架的外部超链接都是通过带上skey核心参数,再GET到QQ登录服务器(ptlogin2.qq.com)来实现同步登录功能的,只是一般网页的URL跳转很快,不容易发现而已。但是在上面的操作步骤中的“下载”链接显然是暴露了用户的机密验证信息。
  鉴于以上分析,虽然此处暴露点并不会直接对QQ用户的帐号造成严重威胁,但是菲菲还是建议大家多长个心眼(小心内鬼,你懂得),挂着QQ离开电脑前可以将QQ锁定掉即可。【菲菲博客·原创文章,转载请注明出处!】
    远程控制软件,灰鸽子下载
评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-24 19:13 , Processed in 0.072743 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表