QQ的ClientKey是非常愚蠢的验证方式

QQ很多登录的地方都是靠一个ClientKey来验证用户身份,而这个ClientKey是直接在地址栏里面提交的,没有任何的防护措施,并且已经使用了很久了,只要在局域网内嗅探一下,得到了ClientKey,就直接秒杀了,邮箱什么的,都是浮云,腾讯啊腾讯,你什么时候才能改掉这个验证方式呢?悲剧。

 

本文标题:QQ的ClientKey是非常愚蠢的验证方式
本文链接:https://www.nigesb.com/qq-clientkey.html
订阅本站:http://www.nigesb.com/feed
转载请注明来源,如果喜欢本站可以Feed订阅本站。

发表评论?

5 条评论。

  1. 这篇文章看得出来博主很无知

    • 又来满嘴喷粪了,现在已经改进了,那时候我嗅探到隔壁那家伙的clientkey,然后能直接进qq空间以及邮箱等应用你懂么?跑来秀下限。。。

  2. 现在你也可以想办法。(还没有验证)
    他还通过ip检查,如果你嗅探到了clientkey,然后可以把自己的ip改成固定的ip(你隔壁的),然后重启路由,这样你连他的ip也得到了。应该就能登录了

  3. 之前对移动版的QQ抓包,发现语言消息完全没有加密,链接也是明文,直接点击链接就可以把语音文件下载下来,然后改个后缀名就可以打开了。不知道有没有修复这个问题。

发表评论


注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>