QQ ClientKey安全防范及問(wèn)題

(HostsAppend)Hosts文件編輯工具1.0免費(fèi)版

• 類(lèi)型：文件處理大小：209KB語(yǔ)言：中文 評(píng)分：7.0
• 標(biāo)簽：

立即下載

以前很多人利用QQ ClientKey來(lái)突破qq的一些權(quán)限，但是騰訊方面很快就修復(fù)了，但是今天有高手又分享了QQ ClientKey的一些漏洞的利用防范。

偶然一次發(fā)現(xiàn)這個(gè)所謂的IP驗(yàn)證確是形同虛設(shè)，有時(shí)甚至?xí)�誤攔正常用戶(hù)。因?yàn)槔�用者很容易就可以突破這個(gè)IP校驗(yàn)機(jī)制，原理是騰訊僅對(duì)旗下部分產(chǎn)品（如空間、微博等等）做了安全校驗(yàn)，而對(duì)其他產(chǎn)品則一律“放行”。。。

舉例來(lái)說(shuō)，你從QQ上直接點(diǎn)空間圖標(biāo)進(jìn)入網(wǎng)頁(yè)時(shí)看到了IP變動(dòng)的提示，但是若點(diǎn)擊游戲類(lèi)的圖標(biāo)則不會(huì)有任何提示。這就可以證實(shí)推測(cè)是正確的。

【安全風(fēng)險(xiǎn)】

通過(guò)ClientKey直接登陸QQ旗下網(wǎng)站，在QQ安全中心里我們是查不到登錄記錄的，甚至可以直接繞過(guò)QQ二代密保中的異地登錄保護(hù)。所以很具有隱蔽性，一旦被壞人利用，對(duì)方就可以輕松獲取你帳號(hào)下的所有權(quán)限，進(jìn)而“為所欲為”。很多童鞋的空間被發(fā)垃圾信息很有可能就與key密鑰泄漏有關(guān)。

【幾種可能會(huì)泄漏Key的情況】

①公共上網(wǎng)場(chǎng)所，比如網(wǎng)吧或酒店；②電腦中了帶有后門(mén)的木馬/病毒；③遭到了ARP欺騙攻擊或使用了非正規(guī)的IE代理；④網(wǎng)絡(luò)鏈路存在劫持現(xiàn)象；⑤內(nèi)網(wǎng)出口設(shè)備裝有流量監(jiān)控（可以查用戶(hù)訪(fǎng)問(wèn)記錄）；⑥其他場(chǎng)景，比如被他人手工復(fù)制竊取等等。

【修復(fù)與防范】

希望騰訊方面可以盡快完善和解決這方面的安全問(wèn)題，對(duì)所有的ClientKey登錄請(qǐng)求均增加IP綁定與驗(yàn)證，最好key密鑰用過(guò)一次即失效。切實(shí)做好用戶(hù)帳號(hào)的安全保障。而我們用戶(hù)也要多多關(guān)注自己QQ號(hào)碼的安全，養(yǎng)成經(jīng)常修改密碼的習(xí)慣，不要使用安全不明的軟件，一定要開(kāi)啟安全衛(wèi)士或電腦管家的實(shí)時(shí)防護(hù)，定期進(jìn)行體檢和木馬的查殺。

小技巧：

說(shuō)了半天可能有的小盆友還不知道ClientKey是什么呢？非常簡(jiǎn)單，當(dāng)你從QQ客戶(hù)端點(diǎn)擊圖標(biāo)等方式進(jìn)入QQ相關(guān)網(wǎng)站的時(shí)候，其實(shí)就是通過(guò)“http://ptlogin2.qq.com/xxx?clientuin=QQ號(hào)&clientkey=64位key字符串”這樣的形式自動(dòng)登陸的，這樣可以免去手動(dòng)登陸的麻煩。因?yàn)辄c(diǎn)擊后網(wǎng)址跳轉(zhuǎn)很快，所以一般不容易發(fā)現(xiàn)。