声明:本文章所提供技术仅供交流,如做违法用途本文作者不承担任何后果。
常见SNS网站的手机版页面的URL中会包含一段密文允许绕过登陆访问所有功能。
其实这种东西早就发现了,几个月前我还闲着蛋疼用这个做了一个在一个页面同时刷新QQ空间动态和人人动态的变态页面(纯Javascript,浏览器开了跨域权限)。
时间追溯到N年前我还在上初中,那时候已经好多同学使用手机了,并且大多都开了每个月5-15M的流量,那时候可以使用wap.qq.com来直接用手机上网页版的QQ,输入帐号密码登陆后会有一个登陆成功的页面,页面上往往会有这么一句话:“加为书签后,访问书签就可以自动登陆了。”当时我就不明觉厉了,这是如何实现的呢?
http://ish.z.qq.com/feeds_my.jsp?sid=NQ0uayYTut2TMdUWR3NpLpek&B_UID=125198688&myFeedNo=0
一样的功能,上面这个URL是手机QQ空间的精简版页面(非触屏版),我们可以明显看到“sid”这个GET参数后面跟着一大串Base64密文,这个实际上是每次登陆随机生成的,服务器会记住这个密文,当用户下一次使用这个URL访问的时候服务器会认为这个客户端是之前登陆的那个客户端,所以直接就免登陆放行了,我试过同一个URL在不同的设备上访问都可以直接进入登陆后页面,且可以自由操作。当然,我上面提供的这个已经失效了,让它失效的方法很简单,就是很久没有访问或者重新登陆一次,那样会重新生成一个新的“sid”密文。
下面附上人人网的URL,同样是手机人人网的精简版页面(非触屏版)的URL,大同小异:
http://3g.renren.com/home.do?&sid=HaTtMRCrgDJuRrDN7Mkts7&n9j3nt&htf=1
看到那个邪恶的“sid”参数了么?唉~~真是“天下文章一大抄”。。。
其他的SNS网站也很有可能存在这种“功能”,请自行挖掘。
我也不知道应该把这种东西称为“功能”还是“漏洞”;说是“功能”还藏有很大的安全隐患,说是“漏洞”还不尽然……下面对安全风险进行一下评估:
如何利用这种漏洞?
由于页面是不进行任何点对点加密技术(如HTTPS、PPTP)进行加密的,所以如果局域网中有人正在使用这种页面,只需要在局域网中抓包(混杂模式)就可以抓到这种URL,可以直接使用。也可以通过手机端的病毒、木马、间谍程序来直接收集这种URL。
用这种漏洞可以做什么?
目前已知的可用功能为:查看、发布状态和评论,添加、删除好友。足以用来发布和传播广告、非法言论、诈骗信息,也可用来刷评论、赞、人气、关注等。
如何避免自己的账户被别有用心的人利用?
不使用这种精简的手机端网页,最起码不在公共网络中(如公共场所的开放WIFI)使用,尽量使用手机客户端应用(不过也不能保证那东西设计得安全),相对来说最安全的还是使用PC来登陆。
有人说为什么这些大网站不用一些安全性高的方法实现自动登陆的功能呢?其实是因为这种页面是面向那些使用低端手机的用户的,需要考虑到网站功能在手机不支持Cookie、HTTPS、Javascript脚本等的恶劣情况下依然能正常使用,任何和安全沾边的技术都不支持的话就只能使用这种算不上安全的“安全技术”了。
不知道有木有大牛能研究出一种方案来提升安全性,但是我觉得淘汰往往代表着进步,这种极其陈旧的页面既然没有对少可利用的价值了就应该淘汰,这样才能提升互联网的整体安全性,也代表着技术的发展又进入了一个新的阶段——一己之见。
本文章系受著作权法保护,未经著作人同意,不得盗用;使用或引用本文章内容请注明作者名、原地址:书中叶http://www.cnblogs.com/libook