腾讯百年不解决的skey问题—成为盗号分子利用的工具

 

盗号分子开始的源头

首先引入这篇文章:警惕盗取QQskey利用其发生盗号行为https://qq52o.me/2640.html

众所周知,在众多网站中需要登陆的网站都会返回一个字符串(Cookie)用来记录和识别用户的登录状态

而 QQ 空间、QQ 邮箱等也不例外,通常我们把这串代码称之为 skey 权限代码,也就是说如果可以获得一个 QQ 号码的 skey 代码,就相应的拿到了对方 QQ 登陆和管理权限

一段简单的 qq+skey+pskey 就可以直接登陆 QQ 的旗下网站,但是在 QQ 安全中心里我们是查不到登录记录的,所以你的账号在何时何地被做了什么你完全都不知道!

对于专业的盗号团队来讲,只要拿到你的skey,你将失去所有安全保护。


skey是怎么被获取的?

首先要知道skey是什么:Skey 是一次性口令的一个工具。它是一个基于客户\服务器的应用程序。首先在服务器端可以用 keyinit 命令为每个用户建立一个 skey 客户,这个命令需要指定一个秘密口令,然后就可以为客户端的用户产生一次性口令列表。当用户通过 telnet,ftp 等与服务器进行连接时就可以按照一次性口令列表中的口令顺序输入自己的密码,下次再连接时候密码就换成了列表中的下一个。

 

[kbd]也就是说,你每一次登入QQ(网页登入)不管是输入密码还是扫码登入,都会生成一段你QQ专属的skey。[/kbd]

 

这意味着什么?只要你在非腾讯网站上登入你的QQ(QQ互联登入除外),该网站都有可能会记录你的skey,skey一到手,站长=为所欲为


本演示一下利用skey登入QQ空间

首先我让测试人拿他的账户登入某网站程序(扫码登入)

我通过数据库可以找到他的skey,然后我去QQ空间登入我的QQ,然后利用审查工具进入cookies,找到关于uin skey pskey这几项,把我的QQ修改为目标QQ skey pskey也一样

修改后刷新页面

你会发现头像已经变了,状态也成为了访问我的空间。所以我现在可以想干什么就干什么,就像正常登入一样。

具体操作就不做了。这和正常登入没什么区别。

对于非法分子来说,不仅仅是想登入你的QQ空间而已。

 

所以,尽量不要在非腾讯平台上登入QQ号

(除QQ互联登入)


 

No Comments

Send Comment Edit Comment

|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
Previous
Next