QQ很多登录的地方都是靠一个ClientKey来验证用户身份,而这个ClientKey是直接在地址栏里面提交的,没有任何的防护措施,并且已经使用了很久了,只要在局域网内嗅探一下,得到了ClientKey,就直接秒杀了,邮箱什么的,都是浮云,腾讯啊腾讯,你什么时候才能改掉这个验证方式呢?悲剧。
转载请注明来源,如果喜欢本站可以Feed订阅本站。
发表评论?
QQ很多登录的地方都是靠一个ClientKey来验证用户身份,而这个ClientKey是直接在地址栏里面提交的,没有任何的防护措施,并且已经使用了很久了,只要在局域网内嗅探一下,得到了ClientKey,就直接秒杀了,邮箱什么的,都是浮云,腾讯啊腾讯,你什么时候才能改掉这个验证方式呢?悲剧。
这篇文章看得出来博主很无知
又来满嘴喷粪了,现在已经改进了,那时候我嗅探到隔壁那家伙的clientkey,然后能直接进qq空间以及邮箱等应用你懂么?跑来秀下限。。。
现在你也可以想办法。(还没有验证)
他还通过ip检查,如果你嗅探到了clientkey,然后可以把自己的ip改成固定的ip(你隔壁的),然后重启路由,这样你连他的ip也得到了。应该就能登录了
之前对移动版的QQ抓包,发现语言消息完全没有加密,链接也是明文,直接点击链接就可以把语音文件下载下来,然后改个后缀名就可以打开了。不知道有没有修复这个问题。
应该已经不存在了
2020年的今天,这个漏洞依然存在。。
2020年的今天这个漏洞依然存在