从扫码登录的原理分析QQ大量被盗事件

6 月 26 号晚上,很多 QQ 被盗的新闻一度冲上微博热搜。很多人反映自己的 QQ 不受操控地发送很多违规图片。

6 月 27 号早上,腾讯 QQ 官方下场发了安全教育平台公告。

从扫码登录的原理剖析QQ很多被盗事情

公告总结来说便是“用户扫了垂钓二维码,和腾讯无关”。

到底和腾讯有关吗?我们来剖析剖析。

扫码登录

先看 QQ 扫描登录的流程,大致分为面试常见问题及回答技巧三个阶段:

  1. 二维码展示阶段

  2. 扫码阶段

  3. 登录承认阶段

从扫码登录的原理剖析QQ很多被盗事情

先简单过一下登录流程:

  1. 用户打开电脑 QQ。

  2. 电脑 QQ 显现一个二维码。

  3. 用户拿起手机扫码。

  4. 电脑 QQ 显现“扫码成功,请用 QQ 手机版承认”。

  5. 手机 QQ 显现“您正在一台新设备登录 Q面试自我介绍3分钟通用Q”,让用户挑选请挑选登录仍是回绝。

  6. 用户挑选登录,电脑 QQ 登录成功,整个流程完毕。

依据用户的行为画出整个时序图:

从扫码登录的原理剖析QQ很多被盗事情

这套扫码登录的流程在业界被广泛地运redistribute用,也足以证明其合理性。

进程一共有四个参加者,别离是:用户电脑锁屏快捷键电脑腾讯 QQ 服务器电脑截图

黑客无法伪造用户redis数据结构、手机、和腾讯 QQ 服务器这三个参加者,可是能够在电脑端上动手脚,这次的盗号事情,正是如此。

到底是怎样进犯的呢?我们往下看。

黑客怎样盗号

依据我了解到的一些信息,我大胆redis集群猜想一下盗号的进程redis缓存

网吧里边的 WeGame 被黑客注入了,然后黑客用手表 QQ 的登录二维码伪装成 WeGame 的登录二维码,绑架了用户的授权信息,黑客使用授权信息和腾讯服务器交互,批量发送图片。

依照httpclient我的推面试技巧和话术大全论,复原一下犯罪现场:

首先,黑客入侵一个大的网吧办理服务商,在 WeGame 这个软件上面注入一层垂钓进口。

然后这个服务商下的网吧下载了这个被注入的 WeGame。

用户去网吧上网,打开 WeGame 的时http://www.baidu.com候同时也打开了垂钓进口。

从扫码登录的原理剖析QQ很多被盗事情

这个垂钓进口输入账号暗面试问题大全及答案大全码显现登录错误。电脑锁屏快捷键

于是,用户只能扫安全教育平台码登录,用户一扫描,看到的却是登录手表 QQ。redis集群

用户感到疑惑,可是也没有想太多,点了承认电脑怎么录屏登录。

授权成功,黑客拿到授权信息。

从扫码登录的原理剖析QQ很多被盗事情

整个进程安全黑客并没有直接盗取到你的账号暗码,只是通过“垂钓”拿到了你的授权信息。

而腾讯的服务器,只认授权信息不认电脑怎么录屏人,只要授权信息是对的,不管谁去请求,腾讯都会放行。

就这样,黑客得到了服务器的信任,电脑锁屏快捷键让你的账号批量发送图片。

答复

面试redis的五种数据类型上面的推论,会有几个问题:

1、为什么没有电脑截图把被盗号的人挤下线。

上面提到了,黑客拿到的是手表 QQ 的授权信息,手表QQ 和手机 QQ 以及电脑 QQ 都不冲突电脑怎么重装系统

也便是说,即使你手机 QQ 在线,黑客也能发送音讯,甚至你一边撤回,黑客还能一边持续发图片。

2、相似很多盗号事情是不是redistribute榜首次?

不是。早在五月份就有相似的事例,但看起来腾讯并没有重视。

从扫码登录的原理剖析QQ很多被盗事情

3、为什么 QQ 经常被盗,可是微信没有这种状况?

QQ 诞生于 1999 年,归于远面试技巧和注意事项古时代的产物,前史遗留问题比较多。

微信诞生于 2011 年,跳过了 QQ 踩过的一些坑面试,权限安全教育平台作业登录把控得也更严厉。

尽管功能上微信没有 QQ 强壮,但安全方面一向做得比 QQ 要好http://192.168.1.1登录。究竟_安全_是微信和支付宝这种带有金融特点的软件的根基,安全做欠好是玩不下去的。

4、为什么没有扫过任何码 QQ 也安全教育平台作业登录被盗了?为什么三百年没用过的 QQ 也被盗了?为什么有些去世的人的 QQ 也被盗了?

假如真的有这种状况,那我也安全工程师无法解说,只能让面试腾讯来解http 500说了。

一些其他观念

上面是我依据网上的信息估测处理的,网络上还有其他的观念。

比较干流的是“学习通信息撞库”安全期计算器和“js 劫取授权信息”。

学习通撞库

这种说法的核心是:学习通泄漏了用户的信息,然后有些用户学习通的暗码和 QQ 暗码设置的是相同,直接导致用户 QQ 暗码泄漏。

我个人觉得这种可能性很低。

为什么呢?

榜首,腾讯和学习通这面试自我介绍种体量的 APP 肯定会对用户暗码脱敏加密处理,并不能直接撞库进犯。

第二,就算破安全教育平台作业登录解了加密方式,拿到了用户的暗码,也很难直接登录用户的 Q安全教育平台登录入口Q。因为在登录的时候,会触发新设备登录验证,假如拿不到用户的登录验证码,是没有办法登录成功的。

JS 取授权信息

依据酷安大佬@面试技巧JiuXia2025 的说法,此次很多 QQ 被盗是因为用户点了某个链接,然后被 js 劫取了浏览面试技巧器里边的 Cookie,黑客从中拿到电脑锁屏快捷键了能操控 QQ 账号的 key,从而批量发送图片。

从扫码登录的原理剖析QQ很多被盗事情

图片来自于why技能

关于大佬的实力,我不置疑。

关于大佬的观念,我保安全生产法持一个置疑的情绪。

榜首,我不相信这么多年过去了,腾讯还没有对 js 进犯做防护。

第二,我不认为在 QQ 里边点开一个链接,QQ 会给浏览器授权具有“发送音讯”的权限。假如没有“发送音讯”的权限,就算浏览器的授权信息算被 js 劫取也没有任何意义。

总结

总结一下我的观念便是:面试技巧

一个有钱人面试问题大全及答案大全家里钱太多了总是被偷,于是这个有钱人花重面试技巧和注意事项金打造了世http 302界上最牛的门,开门需求经过二十四道机关和五次暗码承认,最终还需求验证指纹和人脸。

即使这面试问题大全及答案大全样,这个有钱人的钱仍是http://www.baidu.com被偷了。

为什么还会被偷呢?

记者采访了这个有钱http://www.baidu.com人。

这个有钱人只说了一句话:全部责任尽在用户。

写在最终

吃瓜归吃瓜,仍是要搞技能的,我预估扫码登录的流程会成为近期热门面试题。

为什么redis数据结构呢?

榜首,能够验证提名人对技能有没有敏锐的捕捉力。

第二,能够很好地延伸到其他技能点。比方:

  1. Redis 过期时刻怎样设置?项目中有用到过吗?

  2. Token面试常见问题及回答技巧、Cookie、安全模式Session 三者有什么区别?

  3. 为什么要轮询二维码状况?用 Http 长衔接不行吗?用 Websocket 不行吗?

  4. 还有哪些常见的进犯手段?应对措施别离是什么?

  5. 了解 OAuth2.0 和 JWT 吗?

你看,这一套组合面试常见问题及回答技巧拳下来是不是行面试常见问题及回答技巧云流水、趁热打铁?

所以http://192.168.1.1登录啊,HTTP仍是得持续学啊!

究竟,宇宙的尽头是卷王,你不学习redis数据结构他称王。

以上所有推论仅代表个人观念,归于个人猜想,素材悉数来自于网上。

全部以面试自我介绍简单大方官方公告为准,不信谣不传谣。

参考资料

  • www.apereo.o安全生产法rg/projects/ca…
  • juejin.cn/post/684490…
  • mp.weixin.qq.com/s/kSzFnjPgf…

我正在参加技能安全期计算器社区创作者签约方案招募活动,点击链接报名投稿。

发表评论

提供最优质的资源集合

立即查看 了解详情