QQ空间是腾讯公司很有活力的产品，用户量非常巨大。多年前并不流行，但现在越来越多的用户在上面分享自己的照片新鲜事，QQ作为一个通讯工具，有时承载了太多的事情，很多不同的联系人都加在上面，但是有些时候，我们只是因为工作上的关系而加一下QQ，但是并不想让他们看到我们生活的全部，QQ详细全面的权限设置总是让人倍感温馨，超强的隐私保护使用起来也是非常放心。
 
前些年空间的安全技术还不是太好，有一些比较低级的漏洞，这几年随着腾讯的重视，漏洞是越来越少，网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用，许多恶意软件还借机诈骗用户下载。
 
作为安全人员，从技术角度提一些个人看法。仅供参考。
 

 
 
思路一：利用SKEY
 
基本方法可以见 http://www.phpzhuji.com/a/news/dongtai/2014/1111/115528.html
 
 
登录QQ空间后，服务器会在客户端浏览器保存一个SKEY，每次浏览器访问qq.com 域下的网站时都会发送这个SKEY，服务器根据这个判断用户已经登录。如果拿到这个值，就可以假装是已经登录的用户。
 
存在的未知，有待验证：
 
1.SKEY有效期 
 
估计是一天
 
2.SKEY与IP是否绑定
 
应该有绑定
 

 
 
来看下面抓到的HTTP请求头：
 
GET / HTTP/1.1
 Cookie: skey=@njGHHthuc; uin=o126******2;
 Accept: image/jpeg, */*
 Referer: qzone.qq.com
 Accept-Language: zh-cn
 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
 Host: qz.qq.com
 Cache-Control: no-cache
 
 
如果一切顺利，就会我们想要的页面。
 

 
 
利用的方法：获取Cookie中的SKEY
 
这个主要是利用XSS吧，参见：分享到QQ空间XSS可获取大量COOKIE 当然这个已经不起作用了，但是可以用这个作为一种思路。
 

 
 
思路二：利用漏洞
 
要想确保安全，QQ空间中各个模块都要对用户登录情况进行验证，但是可能因为程序员在写的时候，什么时候就忘了这一点，没有进行验证，导致用户信息泄露。
 
参见：QQ空间可越权查看陌生人相册图片(高清)
 
1. 默认没有权限访问陌生人的空间和相册
 
 
2. 进入到自己的空间，在全部动态位置，如果有好友动态，点击一下，查看网络请求，其中有以下接口：
 http://ic2.s21.qzone.qq.com/cgi-bin/feeds/feeds2_html_hotspot?uin=***(自己的QQ，需要保持登录)&visiteduin=***(经测试，可以为陌生人QQ)&count=10&alpha=1&useutf8=1&g_tk=***
 3. 将2获取到的json解析，可以得到topicid和pickey
 
4. 在QQ空间还是全部动态位置，如果有好友发布了图片，点击查看图片，监控到一个接口:
 http://app.photo.qq.com/cgi-bin/app/cgi_floatview_photo_list?g_tk=***&callback=viewer_Callback&t=202307701&topicId=***&picKey=***&shootTime=&cmtOrder=1&fupdate=1&cmtNum=10&likeNum=5&inCharset=utf-8&outCharset=utf-8&callbackFun=viewer&offset=0&number=20&uin=***&appid=4&isFirst=1&hostUin=***(为想查看的人的QQ)&showMode=1&prevNum=9&postNum=18&_=1388730579218"
 
 替换 ***内容为3获取到的，即能获取到相册图片列表。
 
 
估计第2步的内容是由另一个模块生成的，在这一模块中已经进行了权限判断，没有权限的就不会生成出来。所以在4步中的URL就没有进行权限判断，从表面上看没有问题，但是当你自己构造一个特殊的请求的时候，就能够访问别的内容。
 

 
 
--------------------------------------------------------------------------------
 感谢www.wooyun.org给我们提供一个虽然不是太平等，但是是免费的知识分享平台。
 
信息安全很重要。
 

 
 
 

 

转载 https://blog.csdn.net/qq_34159859/article/details/80976413

QQ空间相册爬虫
 
目标：
 
不声不响的进入别人空间（直接进入内存消耗巨大，速度慢）
获取可以获取的所有的照片
获取.gif格式的照片（未实现）
获取视频（未实现，但可获取视频封面照片）
空间相册分析：
  
 
 
首先，不可操作的相册显然不在我们考虑的范围
对于可操作的相册我将其分为两个部分，是因为我操作‘你有权限进入的相册’时，我遇到了一些难题，与此同时，我也意识到自己的薄弱之处（我极其讨厌模拟请求形式的爬虫技术，话多了。。。。）
由于对于可见相册两种情况难以控制，所以在对图片处理时采用了比较low的方法（截图），并未使用图像下载的方法
流程图：
 
 
Json分析：
 
相册列表Json文件：
 
 
照片Json文件：
 
 
展开看看：
 
 
不好意思，让你看到我恶心的动态了
 
请求链接分析：
 
相册列表链接：
 
 
相册链接：
 
 
注*：
 
没用的关键字，意思就是你写什么都行（TX的工程师= =。。。）
相册链接有两种，我就只用一种了哈~
源码：
 
#encoding:utf-8
from selenium import webdriver
from selenium.webdriver.common.by import By
import time
import re
import json
import importlib,sys
importlib.reload(sys)
import sys
import os

class Preprocessor:
    
    def Analysis_Json(self):
        jsonInfor.AnalysisJson().Analysis_Json()
        
    def startSpider(self):
        driver = webdriver.Chrome(executable_path='chromedriver.exe')
        driver.get('https://qzone.qq.com/')
 
        driver.switch_to.frame('login_frame')
        driver.find_element_by_id('switcher_plogin').click()
        User_QQnum = '******'#这里填写你的QQ号
        User_QQpas = '******'#这里填写你的QQ密码
        driver.find_element_by_id('u').clear()
        driver.find_element_by_id('u').send_keys(User_QQnum)  
        driver.find_element_by_id('p').clear()
        driver.find_element_by_id('p').send_keys(User_QQpas)  
 
        driver.find_element_by_id('login_button').click()
        time.sleep(2)
        pic_num = 0
        #---------------获得g_qzonetoken 和 gtk
      
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
 
        gtk=self.getGTK(cookie)#通过getGTK函数计算gtk
        print(g_qzonetoken)
        print(gtk)
        
        targetQQ = '******'#这里填写目标QQ
        
        photo_list = 
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
        driver.get(photo_list)
        html = driver.page_source
        f = open(r'photoList'+'.json','w+',encoding='utf-8')

        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
        f.close()

        f = open('photoList.json', encoding='utf-8')
        text = f.read()
        f.close()
                    
        if text.startswith(u'\ufeff'): 
            
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
                    
                photosUrl = 
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
                driver.get(photosUrl)
                html = driver.page_source
                
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''

            
    def getGTK(self,cookie):
       
        '''
            注意！！！！！！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
            此块细节已影藏！！！！
                            --Vision_Tung
                                2018年10月25日

        '''
if __name__ == '__main__':
    processor = Preprocessor()
    processor.startSpider()
    print("OK")
 
效果：
 

http://blog.rziqee.cn/index.php/article/34.html