3786人阅读
QQ空间是腾讯公司很有活力的产品，用户量非常巨大。多年前并不流行，但现在越来越多的用户在上面分享自己的照片新鲜事，QQ作为一个通讯工具，有时承载了太多的事情，很多不同的联系人都加在上面，但是有些时候，我们只是因为工作上的关系而加一下QQ，但是并不想让他们看到我们生活的全部，QQ详细全面的权限设置总是让人倍感温馨，超强的隐私保护使用起来也是非常放心。
前些年空间的安全技术还不是太好，有一些比较低级的漏洞，这几年随着腾讯的重视，漏洞是越来越少，网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用，许多恶意软件还借机诈骗用户下载。
作为安全人员，从技术角度提一些个人看法。仅供参考。
思路一：利用SKEY
基本方法可以见&
登录QQ空间后，服务器会在客户端浏览器保存一个SKEY，每次浏览器访问qq.com 域下的网站时都会发送这个SKEY，服务器根据这个判断用户已经登录。如果拿到这个值，就可以假装是已经登录的用户。
存在的未知，有待验证：
1.SKEY有效期&
估计是一天
2.SKEY与IP是否绑定
应该有绑定
来看下面抓到的HTTP请求头：
GET / HTTP/1.1
Cookie: skey=@njGHH uin=o126******2;
Accept: image/jpeg, */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 ( MSIE 6.0; Windows NT 5.0)
Cache-Control: no-cache
如果一切顺利，就会我们想要的页面。
利用的方法：获取Cookie中的SKEY
这个主要是利用XSS吧，参见：&当然这个已经不起作用了，但是可以用这个作为一种思路。
思路二：利用漏洞
要想确保安全，QQ空间中各个模块都要对用户登录情况进行验证，但是可能因为程序员在写的时候，什么时候就忘了这一点，没有进行验证，导致用户信息泄露。
默认没有权限访问陌生人的空间和相册
2. 进入到自己的空间，在全部动态位置，如果有好友动态，点击一下，查看网络请求，其中有以下接口：
http://ic2.s21./cgi-bin/feeds/feeds2_html_hotspot?uin=***(自己的QQ，需要保持登录)&visiteduin=***(经测试，可以为陌生人QQ)&count=10&alpha=1&useutf8=1&g_tk=***
3. 将2获取到的json解析，可以得到topicid和pickey
在QQ空间还是全部动态位置，如果有好友发布了图片，点击查看图片，监控到一个接口:
http://app./cgi-bin/app/cgi_floatview_photo_list?g_tk=***&callback=viewer_Callback&t=&topicId=***&picKey=***&shootTime=&cmtOrder=1&fupdate=1&cmtNum=10&likeNum=5&inCharset=utf-8&outCharset=utf-8&callbackFun=viewer&offset=0&number=20&uin=***&appid=4&isFirst=1&hostUin=***(为想查看的人的QQ)&showMode=1&prevNum=9&postNum=18&_=8&
替换 ***内容为3获取到的，即能获取到相册图片列表。
估计第2步的内容是由另一个模块生成的，在这一模块中已经进行了权限判断，没有权限的就不会生成出来。所以在4步中的URL就没有进行权限判断，从表面上看没有问题，但是当你自己构造一个特殊的请求的时候，就能够访问别的内容。
--------------------------------------------------------------------------------
感谢给我们提供一个虽然不是太平等，但是是免费的知识分享平台。
信息安全很重要。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：60289次
积分：1059
积分：1059
排名：千里之外
原创：44篇
转载：12篇
(2)(2)(6)(2)(9)(4)(1)(6)(2)(5)(7)(1)(3)(1)(5)QQ不为人知的使用技巧,不看后悔一辈子!_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
QQ不为人知的使用技巧,不看后悔一辈子!
上传于||暂无简介
你可能喜欢您当前的位置： →
常用工具栏
QQ空间强制查看进入|QQ空间进入权限破解器8.6 绿色版
====== [下面软件真实下载地址列表] ======
[版权原因部分软件停止下载] ======
QQ空间进入权限破解器是超级绿色软件，不会修改注册表独有的免费升级，是不断根据腾讯的升级而升级的不存在用一段时间就不能用的现象。 简约、雅致，清新、自然的界面用起来简单，方便。只要您输入对方QQ号码，软件就会饶过密码验证自动链接到相应页面。
1、自动操作，自动挂机，强大的辅助，完善的选项
2、不会修改注册表独有的免费升级，是不断根据腾讯的升级而升级的不存在用一段时间就不能用的现象。
3、简约、雅致，清新、自然的界面用起来简单，方便。只要您输入对方QQ号码，软件就会饶过密码验证自动链接到相应页面。
自动操作，自动挂机，强大的辅助,完善的选项
本站提供QQ空间强制查看进入|QQ空间进入权限破解器8.6 绿色版软件免费下载，版权归原作者或公司所有。如有侵权，请与我们联系删除。
* 本站提供的软件我们都会尽可能测试再上传，都亲自运行过，同时通过卡巴斯基杀毒软件的验证，限于能力及系统等问题，无法保证所有软件都没有任何问题，如果您发现链接错误或其它问题，发email到zarong◎告诉我们，谢谢!
* 为了达到最快的下载速度，推荐使用或下载本站软件。为确保正常使用请用最新版来解压本站提供的软件!
* 为了网站可以继续发展下去，在不太影响大家的情况下还请给予点击站内广告。本站所有下载无需点击任何广告即可正常下载，由于部分是FTP下载，限制了同时连接数，因此还请使用下载工具尝试多一会连接时间。如果您发现下载链接错误，请点击谢谢！
* 站内提供的所有软件如包含破解及注册码均是由网上搜集，若无意中侵犯到您的版权利益，通知我们，我们会在收到信息一周内给予配合处理!
* 本站为非营利性站点，所有资源均是网上搜集或私下交流学习之用，任何涉及商业盈利目的均不得使用，否则产生的一切后果将由您自己承担！本站仅仅提供一个观摩学习的环境，将不对任何资源负法律责任。所有资源请在下载后24小时内删除。如果您觉得满意,请购买正版，唯有如此才能更好支持你所喜欢的软件更好发展！本站严厉谴责和鄙夷一切利用本站资源进行牟利的盗版行为！如何破解qq空间访问权限
作者：佚名
字体：[ ] 来源：互联网 时间：05-12 10:13:08
我们想进入某个人的空间有时候会发现他们设置的禁止访问的权限，那如何破解qq空间访问权限呢？
我们想进入某个人的空间有时候会发现他们设置的禁止访问的权限，那如何破解qq空间访问权限呢？
我们知道，用金山数据浏览小精灵可以对游戏中的数值进行修改，可以让你攻击力金钱无数，那我们能不能对qq空间中的QQ空间密码进行修改，（因为qq号码也是数值的）答案是可以的，因为qq空间密码也是在内存中运行的（废话&&）同样的，QQ号码之类的数值也是在内存中，我们可以通过金山游侠对数据进行修改，将内存中的QQ空间号码改为我们想要破解的QQ空间号码&&好的，实验原理讲到这里，现在进行QQ空间密码破解操作。&
首先打开自己的QQ空间,把QQ空间设置上密码，或是访问权限。&
然后开启金山数据浏览小精灵--开启后，将它最小化到系统托盘，然后选择正在执行的qq程序，按&*&键2次，召唤出金山数据浏览小精灵，在查找一栏中输入我们要改掉的qq空间密码&*******&，然后点击&搜索&按纽，瞬间以后，找到6个结果，双击改结果，将&数值&一栏中的&*******&改为&你自己QQ空间设置的权限密码&。将所有的6个qq空间打不开怎么办结果全部都改掉，注意，要全部哦，然后点击金山数据浏览小精灵程序主窗口右上方的&游戏&按纽，回到QQ空间。&
就这样，轻松破解了QQ空间密码，为什么本来是QQ空间号码的地方变成空白呢？不要紧，被非正常修改的程序总会有点错误的，关掉qq空间.但不要关掉金山数据浏览小精灵。然后，重新打开QQ空间就可以恢复正常了。
1、我们先百度去下载一个QQ空间破解软件然后运行以后，点击免费试用一次按钮！如图1
2、在下图中输入要破解的QQ号，点击开始破解按钮！如图2&&&
3、点击开始破解后会提示正在破解中，我们只要等待即可了。如图3
4、如果破解成功我们就可以，QQ相册提问访问，QQ相册权限访问等
这只是一个例子不一定可以完全破解你要看的QQ空间哦，本站内容仅供参考，如果您需要解决具体问题专家，同时本教程供学习使用，造成任何法律纠纷与本站无关。
大家感兴趣的内容
12345678910
最近更新的内容}