初探QQ空间本地安全问题！

QQ用了好多年，但昨天才开通QQ空间，我一直感觉QQ空间太幼稚，太花，本身的博客系统也不成熟， 以前QQ空间是可以复制代码进行控制页面的，同时腾讯也开放了一些端口，但现在呢？ 其实这正是腾讯对QQ空间发展的一小步计划罢了，起初没有太多人用，钟对的是年青人群，正好QQ空间可以通过一些脚本代码来控制页面的美观和显示，基本能让用户根据自己的喜好而定，这是当时别的博客系统是没有的，正是因为这一点，吸引了大量的人群。随着注册流量的增加，人气自然不会少，但别的问题又出来了，大家都复制代码，这对腾讯的服务器自然也是一个很大的问题，首先就是安全问题，这一点其实也是腾讯也不是傻瓜，一开始就预料到了，现在人气足了，注册量已经达到了国内博客系统之首，这时腾讯就把可以通过一些脚本代码来控制页面的功能关了，想向从前靠代码美化页面的日子已经成为了历史，如果你想让自己的页面更美，那就只能通过一些增值业务来进行改变（如开通黄钻，等），这正是腾讯一直期盼的----那就钱！！ 好！言归正传..... 因为占用内存和CPU都比其实的版本相对少，所以一直用TM，但当我昨天在TM面板上打开QQ空间想修改一篇日志的时候， 找了半天也找不到编辑的按钮，真够纳闷的！难到我太笨了？我用朋友的电脑登陆QQ，同样在QQ面板上直接打开空间，却可以在日志首页看到编辑按钮，问题出来了！ 为什么会这样呢？同为B/S系统，同一个公司的软件，而且是同一个用户的QQ号的空间，打开空间却有不同的结果，造成这样的原因只有一个问题，那就是同一个软件不同版本进行传参数的时候出了问题，不过像这种低级错误我认为不应该在腾讯的软件中出现。可猜想，开发TM和别的版本应该不是一个团队，至少在这个传参数的问题上是出了问题。 下面我们就来分析一下TM和普通版本传参给QQ空间的地址吧: 1>这是普通版本传参给QQ空间的地址 http://imgcache.qq.com/qzone/jump.html#zzpanelkey=D76BB888ED41895662E68973DAED10CCF59E08AF46E37E51CC631538FFAF4CB3&zzpaneluin=39394839&url=http%3A%2F%2Fuser.qzone.qq.com%2F393948392>这是TM版本传参给QQ空间的地址 http://imgcache.qq.com/qzone/jump.html#zzpanelkey=59BF32291B5D533ED6C2917171DE71414DB0AE687A756470E82787E1E32BF7AA&zzpaneluin=39394839&url=http://user.qzone.qq.com/39394839有什么不同？我们可以看出zzpanelkey的值是不同的，url的值似乎也不同？其实这个是一样的。 我们可以知道zzpanelkey的参数就是传给服务器上的这个页面<http://imgcache.qq.com/qzone/jump.html>，当这个页面接收到参数的值后再返回某些值给当前用户的浏览器，因为最后接受值的不同，就出现了我上面说的问题！ 这时我们想，既然zzpanelkey保留了一些可用的参数，是不是可以保存下来，当不从QQ面板上打开空间也同样有权限进入自己的空间呢？ 我试了一下，正是所预料的！这样的话，如果别人在你的QQ面板上点了你的QQ空间，再把浏览器里的值复制下来保存，那就不管什么时候只要在你的机子上他都进入你的QQ空间进行管理，吓人吧！！！ 如果这时把自己的QQ号改成别的人QQ号又会出现什么情况呢？哈哈，发现了没有？在QQ空间的工具条上出现了对方QQ的名字！这样我们可以看出当你这样传值的时候，QQ空间是通过你的号子进行判断返回值的，而不是zzpanelkey的值进行判断！！而且如果对方的QQ空间要进行密码判断能进入的情况下，他也能返回值，但这时的值却不是对方QQ的名字，而是对方QQ空间的连接地址！我记得类似的问题以前工行网银也出现过，这是典型的不对用户访问的地址、参数和值不进行严格判断的结果！！ 这样看来，QQ空间这个博客系统的确还不够成熟，到底zzpanelkey中的16进制数传递的值到底对应了哪些值，下次有时间再认真研究一下，开始我以为存的是IP地址，但我试着离线一下，再上线后zzpanelkey的值就改变了，这说明这其中应该就是一些标识用户状态和要服务端响应后返回给浏览器的值，毫无疑问！这值是相当重要的，如果能知道zzpanelkey的每一个值对应的功能的话，哈哈！那所有的QQ空间的用户都能控制了......... 以上问题，只是初探的结果............. <操作过程中的图，下次有时间再贴上>好了，今天就写到这里，明天还要考试，应该语言有些不通顺...... 我测试的环境是： TM:2008QQ:2007浏览器：IE6.0 操作系统：英文XP-SP2