扫一扫,加客服微信 
关于利用ClientKey代码获取主人QQ权限,之前就已经提到。直到有一天看到了“您的网络IP发生了变化,请重新验证”的登录提示,心想腾讯终于开始有所动作,对clientkey直接登录的请求加上了异地IP的安全验证…… 可是偶然一次竟发现这个所谓的IP验证确是形同虚设,有时甚至会误拦正常用户。因为利用者很容易就可以突破这个IP校验机制,原理是腾讯仅对旗下部分产品(如空间、微博等等)做了安全校验,而对其他产品则一律“放行”。。。 举例来说,你从QQ上直接点空间图标进入网页时看到了IP变动的提示,但是若点击游戏类的图标则不会有任何提示。这就可以证实上面腾讯爱好者的推测是正确的。 【安全风险】通过ClientKey直接登陆QQ旗下网站,在QQ安全中心里我们是查不到登录记录的,甚至 可以直接绕过QQ二代密保中的异地登录保护。所以很具有隐蔽性,一旦被坏人利用,对方就可以轻松获取你帐号下的所有权限,进而“为所欲为”。很多童鞋的空 间被发垃圾信息很有可能就与key密钥泄漏有关。 【几种可能会泄漏Key的情况】①公共上网场所,比如网吧或酒店;②电脑中了带有后门的木马/病毒;③遭到了ARP欺骗攻击或使用了非正规的IE代理;④网络链路存在劫持现象;⑤内网出口设备装有流量监控(可以查用户访问记录);⑥其他场景,比如被他人手工复制窃取等等。 【修复与防范】希望腾讯方面可以尽快完善和解决这方面的安全问题,对所有的ClientKey登录请求均增 加IP绑定与验证,最好key密钥用过一次即失效。切实做好用户帐号的安全保障。而我们用户也要多多关注自己QQ号码的安全,养成经常修改密码的习惯,不 要使用安全不明的软件,一定要开启安全卫士或电脑管家的实时防护,定期进行体检和木马的查杀。 |
