相信有很多网友都在使用QQ空间,可以利用QQ空间来记录自己的心情。但有的时候自己的QQ空间并不想让其他人知道,那么就需要在QQ空间上设置权限或密码,只有有权限或知道密码的网友才能查看自己的QQ空间。 我们知道,无时无刻都有典型的“黑客”盯着腾讯新漏洞,并以此疯狂盈利,从以往的刷Q币到后来的暴力破解QQ空间密码,腾讯的修补工作也是任重而道远。那么这一次究竟问题出在哪里? 带着这样的疑惑,笔者以自己QQ空间为例(已是“密码验证”状态),马上进行测试。
图1 QQ空间设置了“密码验证”
图2 “风很凉QQ加密空间日志查看器”
读取速度非常快,就会发现已经加密的QQ空间日至已经显示出来,点击日志标题就可以查看日志内容。要注意的是,这款“风很凉QQ加密空间日志查看器”只能查看纯文本内容的QQ日志,如果日志中有视频和图片,则无法进行查看。
|
看到这里笔者不禁出了一身冷汗,连忙将QQ空间改为“好友验证”。结果再次大吃一惊——于事无补(见上图)。 共2页: 1 2 内容导航 第 1 页:独家腾讯新漏洞?绕过加密QQ空间(一)第 2 页:独家腾讯新漏洞?绕过加密QQ空间(二) 为排除是本地缓存的原因,紧接着测试了其他数位好友的QQ号码,结论依旧……
图4 QQ空间启用“好友验证”
QQ空间的验证功能完全失效了吗? 笔者随后借助TCPView这款网络工具查看了这个“风很凉QQ加密空间日志查看器”的TCP连接,经多番测试,结果发现它连接到几个不同IP,但是最终指向的却是同一个域名…… 图5 腾讯人才招聘系统?
为什么会是“腾讯人才招聘系统”?细心的网友可以留意到浏览器上方的地址:imgcache.qq.com,这似乎是个常见的地址。此外它的二级域名也令人遐想。 莫非是因为所有的QQ空间日志,都被缓存到服务器?当然,更加深入的分析就是腾讯或者“黑客”方面的事情了…… 再分析一下这款“风很凉QQ加密空间日志查看器”:目前它只能读取10篇日志,究竟是这个是疑为腾讯新漏洞的服务器限制,还是该作者故意有所保留?或者,这是一款“试用版”,而“收费版”则可以具备完全没有限制的强大功能?不得而知。 |
|