QQ验证机制分析(一)20150310

最新推荐文章于 2021-03-18 12:49:50 发布
最新推荐文章于 2021-03-18 12:49:50 发布
阅读量2.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdbjxsr/article/details/48434797
版权

  • QQ验证是基于iframe框架下的(这里我分析的是QQ邮箱的跳转,其他的也有可能用的是ajax技术)。

    我们使用fidder截取请求,在浏览器输入mail.qq.com,提交请求,我们可以看到

    1

    1、请求跳转至https://mail.qq.com/cgi-bin/loginpage

    2

     

    2、页面通过iframe,提交子请求至https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=522005705&daid=4&s_url=https://mail.qq.com/cgi-bin/login?vt=passport%26vm=wpt%26ft=loginpage%26target=&style=25&low_login=1&proxy_url=https://mail.qq.com/proxy.html&need_qr=0&hide_border=1&border_radius=0&self_regurl=http://zc.qq.com/chs/index.html?type=1&app_id=11005?t=regist&pt_feedback_link=http://support.qq.com/discuss/350_1.shtml&css=https://res.mail.qq.com/zh_CN/htmledition/style/ptlogin_input24430a.css

    这个页面我认为是一个QQ的通用认证页面,也就是所有的腾讯网页认证最终的登录页面都会跳转至此,如果破解当前页就能攻破腾讯的认证机制。

    3、查看页面代码,发现是去掉了格式的,使用格式化工具,格式代码。

    1)通过loadJS()函数加载js代码

    2)login_button为登录按钮的id,破解主要由login_button为主要线索

    3)页面加载了https://xui.ptlogin2.qq.com/js/10114/c_login_2.js这个js文件,设想里面应该包含了相关的传输信息。

    4、查看这个文件,发现提交用户名密码的代码就包含在里面。

    过程比较复杂,简单分析,发现,程序将pt.plogin.submit函数绑定在提交按钮的click事件上
    3

    这个函数通过pt.plogin.getSubmitUrl取得提交的代码b,通过$.http.loadScript(b)提交请求,这里用loadScript也比较诡异(不过正好回答了抓包的一个疑惑)

    4

    这是提交用户名密码的请求,但是看左边显示的mime是js,一开始还以为是fidder的bug。

    这里分析的是大体的QQ认证框架,具体请求的url生成函数pt.plogin.getSubmitUrl()将在下一篇文章分析。

bdbjxsr
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你妹的,模拟QQ邮箱登录提示用户名或密码错误。
fengxubb的专栏
12-30 5171
https://ssl.ptlogin2.qq.com/check?uin=1328937242@qq.com&appid=522005705&ptlang=2052&r=0.011487972790555467 Set-Cookie: ptvfsession=312e3b2213010e9c03222a7fe8beb2eb760518e52959c5d94602099b05bf6fb72f50
QQ快速登录协议分析
跟派大星学编程
03-16 1万+
1.获取pt_local_token 请求 https://xui.ptlogin2.qq.com/cgi-bin/xlogin?s_url=https%3A%2F%2Fhuifu.qq.com%2Findex.html&style=20&appid=715021417&proxy_url=https%3A%2F%2Fhuifu.qq.com%2Fproxy.html ...
Python:模拟邮箱登陆
Hellolijunshy的博客
06-05 4161
《模拟通过账户密码登陆163邮箱》 第一:首先要下载Google Chrome浏览器,查看Google Chrome浏览器的版本信息(点击Google Chrome浏览器的右上角的下的“帮助”下的“关于Google Chrome”),可以看到我的版本是:75.0.3770.80(正式版本) (64 位) 第二:下载对应自己版本的Google Chrome浏览器的”chromedriver“...
APP账号密码传输安全分析
weixin_30364147的博客
08-08 330
最近在搞公司的安卓APP测试(ThinkDrive 企邮云网盘)测试,安卓app测试时使用代理抓包,发现所此app使用HTTP传输账号密码,且密码只是普通MD5加密,存在安全隐患,无法防止sniffer攻击、中间人攻击(因此这次安全问题,加强对这两安全术语的了解): 问题1:账号密码采用http传输,账号与密码(MD5值)均可以捕获; 问题2:密码虽采用MD5加密,简单密码...
QQ登录
itmaxin的专栏
11-07 3706
第一次做网站绑定QQ登录,参考官方的API文档一步一步弄出来的。
QQ验证源码.zip
04-16
QQ验证的上下文中,它可能是用来演示如何创建复杂逻辑或者游戏规则类的验证机制。源码中可能会包含用户交互、规则判断和状态管理等关键部分,对于理解如何构建动态验证流程非常有帮助。 接下来是"QQTZ万能模块...
QQ验证.rar
04-06
QQ验证是一个网络社交场景中的常见机制,用于保护群组成员的质量和安全性。在这个压缩包“取QQ验证.rar”中,包含的易语言源码很可能是用来编写一个程序,帮助用户自动处理或模拟QQ群的验证过程。易语言是一种...
QQ群绑定验证.rar
04-05
这种验证机制不仅限于QQ群,也可以应用于其他需要身份验证的场景,如论坛注册、网站登录等。它有助于提高社区的安全性,保护用户隐私,防止恶意用户进行骚扰或欺诈活动。 6. **学习与开发** 对于想要学习易语言和...
QQ登陆验证功能集成.rar
04-05
总之,QQ登录验证功能集成是一个涉及网络通信、授权机制和数据处理的综合任务。易语言作为一种易于上手的编程工具,为开发者提供了实现这一功能的可能性。通过深入理解QQ的OAuth2.0协议和易语言的编程机制,你可以...
2018-QQ协议-分析文档
08-05
QQ协议分析是网络通信技术领域中的一个重要话题,尤其是在即时通讯软件开发中,它涉及到客户端与服务器之间的数据交换规范。本文将深入探讨QQ协议的核心概念、发送接收流程、数据打包与解密过程,以及如何通过文档...
QQ快速登录协议分析以及风险反思
七夜的博客
08-22 6674

   前言 众所周知,Tencent以前使用Activex的方式实施QQ快速登录,现在快速登录已经不用控件了。那现在用了什么奇葩的方法做到Web和本地的应用程序交互呢?其实猜测一下,Web和本地应用进行交互可能采用http交互,事实也是如此。   快速登录分析 快速登陆框请求     https://xui.ptlogin2.qq.com/cgi-bin...
app的登录认证与安全
MOKA
03-16 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请
php反腾讯报毒检测,QQ域名报毒检测接口源码
weixin_42519170的博客
03-18 590
通过抓取腾讯的域名状态判断接口,从而判断出域名是否报毒。function curl($durl) {$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $durl);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_BINARYTRANSFER, true);$...
QQ自动强制加好友代码
热门推荐
恬静的男子的博客
10-11 5万+
是的,你也许见过强行聊天的代码: tencent://Message/?Uin=574201314&websiteName=www.oicqzone.com&Menu=yes 但是你应该不知道,还有强行加好友的代码: tencent://AddContact/fromId=45&fromSubId=1&subcmd=all&uin=574201314&am...
linux下keepalived的配置(心跳检测机制)
zj1697的博客
09-09 1万+
通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。 当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。 keepalived的工作原理是VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议。 在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。 VRRP
权限验证原理篇
jqq_apple的博客
08-21 922
2015-08-20学到的权限验证 “权限管理”是“权限验证”的基础 1)权限管理 登录时算出用户的所有权限: ①通过用户的角色找出相应权限 用户–>角色–>权限 由用户名得到userId,从user_role关联表中获得roleId,再从role_auth关联表中获得authId,由authId获得AuthorityInfo,然后获得Au
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值