好久没更新了。
本来不准备把这个东西给公布出来,但考虑到自己的blog长期没有原创的东西实在是稍显单薄啊~~~哈哈
其实这个漏洞自己以前很早就想到,可是没去细细研究,有天没事拿出来看了一下,还真是一看吓一跳。。。
tencent,你这次的玩笑可开大了……
稍微细心的人会发现,在QQ的client上可以发送一个链接实现登陆QQ网站的功能(比如QQ秀以及其他的功能)对本地的QQgame也可实现。
观察一下这个链接,发现其是由自己本身的QQ号和一个64位的所谓的clientkey。
经过自己的测试,发现只要得到这个clientkey,就可以自己搭配出了这个链接,从而达到非法登陆的目的!
clientkey只会在QQ的client登陆时间改变后而改变,而且改变后的值跟改变前的值同样有效!
不过如果怎样能做到异地来取这个key值呢,一就是能研究出这个key的算法,二就是依靠远程控制盗取!这个方法就靠广大的编程高手去解决!我自己感觉是不太难的,哈哈,用这个方法实现了另类的盗取QQ,实现财产转移等等目的。
本方法只供研究测试,任何非法操作与本人无关。。。