大家有时打开某网页或是扫描二维码又或是运行某应用程序后
经常会看到QQ空间会自动转发说说,即使我们并没有输入QQ账号及QQ密码
今天我们来分析其原理得知其转发机制
转发机制
应用程序
- 某说说吸引了客户主动下载并运行了程序A
- 程序A运行后在后台通过各种途径获取到了本机QQ的Cookies
- 该程序在后台利用获取到的Cookies免密码登录了QQzone,并发送一条包括一段预先写好吸引客户的文字及程序A的下载链接的说说
- 该说说吸引了更多客户主动下载并运行了程序A;
既然软件编程能做到这些,我想网页编程自然也可以实现。
网页
我想大概是因为TX的某个产品的某个页面下存在一个XSS漏洞,由于没有对请求参数做严格检查
通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码,同时服务器没有对请求来源进行检测,因此可以造成CSRF攻击。
一般标签style为隐藏属性,从而使得该插入页面不会被用户发现,插入的页面链接就是构造好的url地址。
当页面被加载时,页面通过这个url接口向服务器发送一个请求,服务器没有对请求来源进行效验,直接将请求的数据返回
然后通过插入的代码,获取用户的cookie,然后从中提取uin值和skey值,通过抓包可以看到
再使用curl命令通过发表说说的api向服务器发送一个包,就可以达到自动发送说说的目的了
利用Skey进行敏感操作
Skey 是一次性口令,服务器为每个用户建立一个skey作为用户的权限代码,服务器验证该值即可获取用户的一些权限操作
该值会被浏览器记录在cookie信息中,只要用户不退出登录就会有效。也就是说如果获得一个QQ号码的Skey代码
也就相应的拿到了对方QQ登陆和管理权限,通过调用相应的操作接口API,即可不通过用户密码实现对用户空间,相册的访问权限,同时也可以发表说说,删除留言等一些敏感操作。
预防方法
最好的办法就是不要随意点击一些不良网站信息,如果不小心中招,解决方法就是快速退出空间
如果是手机登录的话就要退出QQ,重新登陆QQ,这样会产生新的skey,原来的skey就失效了。
如果是单纯的刷新网页,并不会使skey失效。
本文作者为许都,未经作者授权,禁止转载。
