web安全:QQ号快速登录漏洞及被盗原理

原创 已于 2023-04-20 23:12:31 修改 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #网络安全 #网络攻击模型 #安全威胁分析

于 2023-04-20 23:10:38 首次发布
本文揭示了QQ快速登录功能可能存在的安全风险。通过Fiddler工具监控,发现点击登录时,接口会返回包含用户信息的Cookie,这可能导致CSRF攻击,让攻击者无需密码即可操控账号,进行发表留言、抓取图片等操作。要保护账号安全,需警惕不明页面和程序。

为什么你什么都没干,但QQ空间中却发了很多小广告?也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的原理。

而利用这个原理最终可以实现,只要你点击一个页面或运行过一个程序,那么我就可以拥有你的登录权限。可以直接进你邮箱,进你微云,进你QQ空间等....

腾讯QQ有一个快速登录的功能,意思就是当你点开网页的时候,他能自动效验你是否登录了QQ。

那么腾讯是怎样实现的呢?

腾讯是通过NPAPI和 ActiveX 来实现的。

(网景插件应用程序编程接口(NPAPI, Netscape Plugin Application Programming Interface)是Netscape Navigator、Mozilla Suite、Mozilla SeaMonkey和Mozilla Firefox等Gecko引擎浏览器与Apple Safari和Google Chrome等webkit引擎浏览器所使用的类似ActiveX的插件接口。

ActiveX 是一个开放的集成平台,为开发人员、 用户和 Web生产商提供了一个快速而简便的在 Internet 和 Intranet 创建程序集成和内容的方法。 使用 ActiveX, 可轻松方便的在 Web页中插入 多媒体效果、 交互式对象、以及复杂程序,创建用户体验相当的高质量多媒体CD-ROM 。)

因为IE从5.5版本后停止支持   NPAPI,所以, 腾讯对 IE浏览器 采用 ActiveX 插件,对除IE浏览器等其它主流浏览器采用NPAPI的形式来实现快速登录。

每当你运行该页面的时候,他会判断你浏览器支持不支持ActiveX,然后再进行相关操作,代码我就不放出来了,有兴趣的大家可自行百度了解。

当然,如果用ActiveX呢,你的浏览器又得下载插件,如果用NPAPI呢部分浏览器还要审核插件,并且伴随着时代的发展,NPAPI和ActiveX 已经显得老态龙钟,所以,腾

最低0.47元/天 解锁文章
白袍万里
关注
[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
杨秀璋的专栏
01-21 1万+
作者前面详细介绍了熊猫烧香病毒的逆向分析过程。这篇文章换个主题继续介绍,本文将对Chrome浏览器保留密码的功能进行渗透解析;同时复现一个最近流行的漏洞,通过Chrome浏览器实现Win10蓝屏;最后介绍音乐软件的加密功能及漏洞复现。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,开发厂商进行相关的漏洞修补,安全保障任重道远。
模拟登陆webqq总结(一)
u012031857的专栏
10-24 3727
最近几天做了一个模拟登陆webqq
C# 登录QQ网站并获取QQ相关信息
Hauk.Wong
09-12 1万+
本文以登录http://id.qq.com为例,获取用户等级、Q龄等相关信息。 本文界面使用WPF制作  技术涵盖:C#、wpf、HttpWebRequest、HttpWebResponse (.net framework 4.5,当然你也可以使用4.0。不知道为什么使用3.5无法得到正确的结果,代码一模一样,还望高人指点!) 1、获取独立登录框地址
解密QQ诈骗APP:逆向溯源,探寻幕后黑色操作
weixin_43803070的博客
03-11 3865
解释一下叭,str为我们需要解密的字符串,自定义函数中的前三行为补齐base64要求的4的整数倍长度,不足补 = 即可,刚好url_safe操作base64库提供了函数urlsafe_b64decode,剩下的只需要注意字节转换即可。拿到样本app后,首先查壳,无壳,现在骗子难道不会加壳吗?想来想去我还是挺难受的,看他每天几百条的骗取别人的qq,心里很难受,我决定做点什么,但又做不了什么,因为我一旦ddos他的vps,他又会换一个vps继续盗,于是,没事干就分析下加密吧,正好再熟悉熟悉写脚本。
QQ快速登录的实现原理
热门推荐
rinsmelody的博客
07-18 1万+
今天在浏览器隐身模式下发现也能使用QQ快速登录功能,即在网页上显示当前QQ客户端已登录QQ头像,并一键登录,甚是好奇,遂将其实现方式研究一番。
QQ快捷登录原理与远程快捷登录实现
qq_44839815的博客
04-12 1491
QQ快捷登录原理与远程快捷登录实现
第39天:WEB攻防-通用漏洞_CSRF_SSRF_协议玩法_内网探针_漏洞利用
weixin_45534587的博客
01-31 1205
CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输入,但自己的qq或其他的被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。
关于 Web 安全:5. 认证绕过与权限控制分析
最新发布
Triste__chengxi的博客
05-25 2059
指的是系统登录接口没有设置验证码、图形验证、滑动验证或行为校验,导致攻击者可以通过自动化脚本进行组合的穷举猜解(暴力破解),从而登录系统。
第39天:WEB攻防-通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用
wuqingsix的博客
11-28 1444
跨站请求伪造,通常缩写为CSRF或者XSRF,举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qq或其他的被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。
QQ漏洞???
weixin_34234823的博客
07-06 207
今天刚打开QQ,便有人申请加我好友,我正在查看此人资料的时候,QQ的系统消息弹出说XXXXXXX用户已经通过了你的验证。。。我没有验证他啊。。。怎么会这样????怪现象,大家注意点哦...
QQ快速登录插件下载 QQ快速登录插件 v1.0
10-15
QQ快速登录插件是一款安装QQ快速登录插件的工具。若不小心把QQ快速登录插件清理了,该程序能重新帮你安装。
最新腾讯之暴KEY漏洞
08-11
最新腾讯漏洞,此漏洞危害极大。希望重视起来。
QQ快速登录
qq_44499717的博客
04-25 896
qq互联的配置: app_ID = 101863669 app_KEY = 0e8cc7c389abe3026cabb5da41733cd9// redirect_URI = http://wdn.natapp1.cc/qQloginCall 只需要改以上三个 scope = get_user_info,add_topic,add_one_blog,add_album,upload_pic,l...
android 仿qq单点登录,QQ快速登录原理(BS、CS 混合的单点登录
weixin_42213451的博客
05-28 392
如果我们在本机电脑上启动了 QQ,再使用浏览器访问 QQ邮箱登录页,这个页面会提示我们已经登录了的 QQ。它是怎么做到的呢?有人说是控件。控件也许能够实现,但会影响用户体验,QQ用的是更先进的思路。QQ会内置一个小型的 Web Server,提供类似 IIS、Apache的功能。访问 QQ邮箱登录页,这个网页会去访问这个 Web Server,由于是同一台机子访问,所以地址就是:127....
QQ快速识别登录推测
weixin_33804990的博客
03-12 175
2019独角兽企业重金招聘Python工程师标准>>> ...
QQ快速登录实现原理分析之localhost.ptlogin2.qq.com 怎么会映射到 127.0.0.1问题
码觉客的博客
07-20 1万+
最近也在研究QQ快速登录实现原理,在研究过程中也遇到一个问题久久知道其运作原理。在QQ快速安全登录页面中,一个https://localhost.ptlogin2.qq.com:4301/pt_get_uins接口,远程地址不是QQ的服务器,而是指向的是127.0.0.1访问的本机。可是奇怪的是,这样的域名映射在C:\Windows\system32\drivers\etc\hosts文件中又没有相应的配置项。腾讯是通过什么样的骚操作才能够实现这样的功能呢?下面揭晓答案(个人猜测,如有雷同纯属巧合)
单点登录实现原理笔记
04-13 216
一.单系统登录机制 1.http 为无状态请求 每次请求之间没有关联 2.要鉴别浏览器请求,需服务器和浏览器共同维护一个状态,即会话机制 2-1.浏览器第一次请求,服务器创建一个会话id,返回浏览器存储,以后每次请求都带上会话id 2-2.浏览器保存会话id方式:1-cookie 存储少量key/value数据,发送http请求时自动附带 2-3.tomcat中的cookie,名为JSESS...
简单漏洞QQ/TM2009 溢出漏洞
Karl's blog!
08-03 2323
溢出代码:(中间汉字可任意替换)  ﻬ墨♬    漏洞范围:QQ/TM 2009 所有版本  代码最简易测试:请您加qq1246270967为好友试试  简易测试:  我们将qq214123212账的昵称设置为:ﻬ墨♬     点击"确定"后,QQ214123212程序自动关闭,并弹出"错误报告"窗口 ,生成qqd39112.txt文件     qqd3911
SmileQQ登录器:支持多QQ安全登录
从标题“QQ登录器(让你轻松登录多个QQ,并且避免被盗)”以及描述和标签中可以看出,该软件主打两大卖点:一是便捷性,即支持多QQ的同时在线与快速切换;二是安全性,强调能够有效防范账被盗的风险。结合...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值