原理很简单,就是利用qq的快捷登陆,后台登陆获取权限,然后登陆qq空间等平台发布……
qq快捷登陆在一定程度上是一个非常大的漏洞,只要你qq登陆电脑上,然后浏览器访问特定网页,就能自动感应到qq。
而,你只需要点击确认,就算登陆成功,就算授权成功。
如果你软件加上一个隐藏的浏览器的组件,组件自动登陆像qq空间这样的网站,网页自动回感应到qq,你只需要后台点击登陆,就能获取qq权限。
软件获得权限以后,会自动发布qq空间的日志和说说,而发布的内容通常是有货别人下载使用本软件。
从而达到裂变传播的目的。
去年有一段时间,qq快捷登陆出了问题,是全网范围的出问题。应该跟洪雨说的这个漏洞有关。
这个漏洞不是很好修复,qq既不能取消快捷登陆,又很难识别是人工登陆还是软件自动点击登陆。应该纠结了一阵子,现在应该更新了新版qq的登陆插件。
就目前,洪雨发现,如果你用浏览器登陆已经没有问题了,用软件集成的浏览器组件就无法感应到了。
洪雨不知道背后的原理,稍微查询了一下,也没有找到解决办法。
一个思路仅做分享吧。
洪雨比较懒,也没怎么操作,纯粹研究技术了,玩完了就算了。
其实当时这个技术已经价值百万了,如果扩散开来,洪雨不是腰缠万贯,就是去吃牢饭……
懒,或许是福气也不一定。
现在这技术还行不行了?我觉得仍然可以……
===
2020年,这篇文章更新一下吧。
腾讯为了防范这个漏洞应该更新了插件。编程软件自带浏览器无法安装产插件的原因,也无法快捷登录。
而且,QQ空间,就算你正常登录,快捷登录也会让你验证两到三遍。
也就说,你登录上了,点击一个页面,还让你快捷登录,然后再点击页面,还让你再登……
我没研究其中的原理,可能会有用吧……
【这篇文章本来是用密码锁住的,既然已经过去两年了,人气也没有了,洪雨就打开了公开出来】
发表评论: