随笔-208  评论-469  文章-30  trackbacks-0
     QQ用了好多年,但昨天才开通QQ空间,我一直感觉QQ空间太幼稚,太花,本身的博客系统也不成熟,
以前QQ空间是可以复制代码进行控制页面的,同时腾讯也开放了一些端口,但现在呢?
       其实这正是腾讯对QQ空间发展的一小步计划罢了,起初没有太多人用,钟对的是年青人群,正好QQ空间可以通过一些脚本代码来控制页面的美观和显示,基本能让用户根据自己的喜好而定,这是当时别的博客系统是没有的,正是因为这一点,吸引了大量的人群。随着注册流量的增加,人气自然不会少,但别的问题又出来了,大家都复制代码,这对腾讯的服务器自然也是一个很大的问题,首先就是安全问题,这一点其实也是腾讯也不是傻瓜,一开始就预料到了,现在人气足了,注册量已经达到了国内博客系统之首,这时腾讯就把可以通过一些脚本代码来控制页面的功能关了,想向从前靠代码美化页面的日子已经成为了历史,如果你想让自己的页面更美,那就只能通过一些增值业务来进行改变(如开通黄钻,等),这正是腾讯一直期盼的----那就钱!!
      好!言归正传.....

     因为占用内存和CPU都比其实的版本相对少,所以一直用TM,但当我昨天在TM面板上打开QQ空间想修改一篇日志的时候, 找了半天也找不到编辑的按钮,真够纳闷的!难到我太笨了?我用朋友的电脑登陆QQ,同样在QQ面板上直接打开空间,却可以在日志首页看到编辑按钮,问题出来了!
      为什么会这样呢?同为B/S系统,同一个公司的软件,而且是同一个用户的QQ号的空间,打开空间却有不同的结果,造成这样的原因只有一个问题,那就是同一个软件不同版本进行传参数的时候出了问题,不过像这种低级错误我认为不应该在腾讯的软件中出现。可猜想,开发TM和别的版本应该不是一个团队,至少在这个传参数的问题上是出了问题。

下面我们就来分析一下TM和普通版本传参给QQ空间的地址吧:
1>这是普通版本传参给QQ空间的地址
http://imgcache.qq.com/qzone/jump.html#zzpanelkey=D76BB888ED41895662E68973DAED10CCF59E08AF46E37E51CC631538FFAF4CB3&zzpaneluin=39394839&url=http%3A%2F%2Fuser.qzone.qq.com%2F39394839

2>这是TM版本传参给QQ空间的地址
http://imgcache.qq.com/qzone/jump.html#zzpanelkey=59BF32291B5D533ED6C2917171DE71414DB0AE687A756470E82787E1E32BF7AA&zzpaneluin=39394839&url=http://user.qzone.qq.com/39394839

有什么不同?我们可以看出zzpanelkey的值是不同的,url的值似乎也不同?其实这个是一样的。
我们可以知道zzpanelkey的参数就是传给服务器上的这个页面<http://imgcache.qq.com/qzone/jump.html>,当这个页面接收到参数的值后再返回某些值给当前用户的浏览器,因为最后接受值的不同,就出现了我上面说的问题!
        这时我们想,既然zzpanelkey保留了一些可用的参数,是不是可以保存下来,当不从QQ面板上打开空间也同样有权限进入自己的空间呢?
         我试了一下,正是所预料的!这样的话,如果别人在你的QQ面板上点了你的QQ空间,再把浏览器里的值复制下来保存,那就不管什么时候只要在你的机子上他都进入你的QQ空间进行管理,吓人吧!!!

          如果这时把自己的QQ号改成别的人QQ号又会出现什么情况呢?哈哈,发现了没有?在QQ空间的工具条上出现了对方QQ的名字!这样我们可以看出当你这样传值的时候,QQ空间是通过你的号子进行判断返回值的,而不是zzpanelkey的值进行判断!!而且如果对方的QQ空间要进行密码判断能进入的情况下,他也能返回值,但这时的值却不是对方QQ的名字,而是对方QQ空间的连接地址!我记得类似的问题以前工行网银也出现过,这是典型的不对用户访问的地址、参数和值不进行严格判断的结果!!
       这样看来,QQ空间这个博客系统的确还不够成熟,到底zzpanelkey中的16进制数传递的值到底对应了哪些值,下次有时间再认真研究一下,开始我以为存的是IP地址,但我试着离线一下,再上线后zzpanelkey的值就改变了,这说明这其中应该就是一些标识用户状态和要服务端响应后返回给浏览器的值,毫无疑问!这值是相当重要的,如果能知道zzpanelkey的每一个值对应的功能的话,哈哈!那所有的QQ空间的用户都能控制了.........
       以上问题,只是初探的结果.............
      <操作过程中的图,下次有时间再贴上>

好了,今天就写到这里,明天还要考试,应该语言有些不通顺......


我测试的环境是:
TM:2008
QQ:2007
浏览器:IE6.0
操作系统:英文XP-SP2

posted on 2008-02-03 12:18 EricWong 阅读(3928) 评论(18)  编辑  收藏 所属分类: others

评论:
# re: 初探QQ空间本地安全问题! 2008-02-03 13:14 | 久城
QQ空间太花哨了,适合小女生。
曾经用了本烂字典+无限POST偷窥了朋友的QQ空间,当时还郑重的告诉她,网络是不安全的。
现在想想,QQ空间居然可以无限POST,是腾讯的大方吗?  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-03 13:56 | 稻草人
@久城
你是怎么偷窥你女朋友的日志的?能告诉我吗?
  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-03 15:01 | 久城
@稻草人
LS不要误会哦,我不懂黑客技术,只是她的密码比较特殊,是一个人的生日,我就写了个生日的字典,循环POST,POST几千遍就成功了,大概两个小时。方法很笨啊哈哈。  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-04 10:13 | rht
QQ空间最大的问题是不支持别的浏览器,我用ff访问不了,所以只要是qq空间的博客,我都立马关闭。  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-05 13:14 | ha
qq空间就是骗小孩子钱的东西...  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-11 17:10 | ylin
zzpanelkey的内容应该和帐号信息有关,我试着把zzpanelkey的内容换成了我的钱包-查询余额的url中的clientkey的值,居然也成功访问到了Qzone的信息中心!猜测zzpanelkey的生成可能也与时间有关。不过估计腾讯的东西页不是那么好分析的。  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-12 01:34 | 过路人
看样子在网上的东西都是不安全的!  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-17 12:41 | 83aaa
有空研究一下,呵  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-02-20 17:11 | 季向民


14 君诚证件客服公司
联系方式:QQ768525585
邮箱:a13421802607@163.com
电话:13421802607
MSN:junchengzjkf@.hotmail.com
君诚证件客服公司是一家以网络销售为主的文凭,证件制作公司.公司本着以质量第一,信誉第一,客户至上的原则,面向全球的国内外朋友.国外文凭,回国证明,留学认证,成绩单,托福,雅思成绩单,护照,签证,存款证明等是我公司的主要办理项目
热诚为每一个需要解决难题的朋友代办各种证件,文凭.各类成绩单,公证书.资信证明,银行卡,印章等等.本公司2007年产品说明;产品说明:

1.国外文凭雅思,.托福成绩单.全日制毕业书、自学考试、成人教育、(含专科、本科 、研究生、硕士、博士)毕业生档案、英语 四、六、八级证书、雅思成绩、计算机等级、外语等级考试、并可以按客户要求制作印刷。
2.项目经理证、会计、会计师、工程师、教师资格证、医 师资格证、护士资格证等
3.身份证、户口、护照、香港身份证、回乡证、离婚证、 结婚证等。并可以代办真实的户口。 
4.各地方车牌、行驶证、驾驶证、养路费、完税证明、年检、税讫、合格证、汽车发票等。 
5.房屋所有权证、房屋他项权证、国有土地使用权证、土地使用权证、营业执照等 
6.各地普通发票、建筑安装发票、机械设备发票、汽车销 售发票等
7.汽车档案:汽车驾驶证、行驶证、营运证、附加费、养路费、从业资格证、年审等。  
8.刻 章 类:政府机关公章、公司(企业)公章、财务公章、个人私章,烫金刻制公章钢印[face]20[/face]  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-03-06 12:46 | zhu_min726
是对密码和今天日期的des加密, 晕,同一天都是一样的  回复  更多评论
  
# re: 初探QQ空间本地安全问题![未登录] 2008-03-10 01:38 | 小马
恩 喜欢  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-03-21 16:54 | maidou
专业提供QQ免费相关资源 地址如下:
http://www.qqcol.cn
免费装扮QQ空间
比如QQ空间模块-包括QQ空间图片-QQ空间FLASH等  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2008-05-04 13:09 | mt
提供一个QQ空间装扮的网站


http://www.ipkqq.cn

比如QQ空间背景代码,QQ空间FLASH。QQ空间装扮等各种素材  回复  更多评论
  
# re: 初探QQ空间本地安全问题![未登录] 2008-06-04 19:48 | 佚名
貌似知道了KEY的意义还可以用来搞QQ密码。  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2009-01-15 14:50 | 猪头
Q客豬頭⒊‐-->帮您打造完美空间 本站为您提供各类QQ空间免费代码 QQ空间素材 flash动画 非主流图片 QQ个性签名
www.qkcol.cn
  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2009-01-15 14:51 | QQ空间开场动画
Q客豬頭⒊‐-->帮您打造完美空间 本站为您提供各类QQ空间免费代码 QQ空间素材 flash动画 非主流图片 QQ个性签名
www.qkcol.cn  回复  更多评论
  
# re: 初探QQ空间本地安全问题![未登录] 2009-06-24 21:27 | 呵呵
zzpanelkey值 是随时间变化的 即使利用更改一下QQ号 浏览还是没有权限,根本就是传给服务器加密了的 QQ号密码 就是不知道是什么加密的?  回复  更多评论
  
# re: 初探QQ空间本地安全问题! 2009-07-19 17:17 | 怎样免费装扮QQ空间
猪头空间站为大家提供 各类免费空间代码

http://www.2ozj.cn http://ww.xzq8.com  回复  更多评论
  

只有注册用户登录后才能发表评论。


网站导航: