无密码读取加密qq空间？腾讯qq空间存在哪些漏洞？

　相信有很多网友都在使用QQ空间，可以利用QQ空间来记录自己的心情。但有的时候自己的QQ空间并不想让其他人知道，那么就需要在QQ空间上设置权限或密码，只有有权限或知道密码的网友才能查看自己的QQ空间。

但现在要小心了，有一款名字为“风很凉QQ加密空间日志查看器”的软件，利用它无需权限，也不用知道对方的QQ空间密码，就可以直接读取任意QQ空间的日志。这意味着，无数的QQ空间用户存在隐私危机，一些你并不想被人知道的私密日志，可能正在被窥视！

我们知道，无时无刻都有典型的“黑客”盯着腾讯新漏洞，并以此疯狂盈利，从以往的刷Q币到后来的暴力破解QQ空间密码，腾讯的修补工作也是任重而道远。那么这一次究竟问题出在哪里？

带着这样的疑惑，笔者以自己QQ空间为例（已是“密码验证”状态），马上进行测试。

图1 QQ空间设置了“密码验证”

“风很凉QQ加密空间日志查看器”是一款绿色软件，随意解压到任意目录后就可以使用。运行之后，先要根据提示输入验证码，然后即可在文本框中输入要进行查询的QQ号码，点击查看按钮就会开始读取QQ空间里面的日志。

图2 “风很凉QQ加密空间日志查看器”

读取速度非常快，就会发现已经加密的QQ空间日至已经显示出来，点击日志标题就可以查看日志内容。要注意的是，这款“风很凉QQ加密空间日志查看器”只能查看纯文本内容的QQ日志，如果日志中有视频和图片，则无法进行查看。

图3 被读取出来的QQ空间日志

看到这里笔者不禁出了一身冷汗，连忙将QQ空间改为“好友验证”。结果再次大吃一惊——于事无补（见上图）。

共2页: 1 2

内容导航

第 1 页：独家腾讯新漏洞？绕过加密QQ空间（一） 第 2 页：独家腾讯新漏洞？绕过加密QQ空间（二）

为排除是本地缓存的原因，紧接着测试了其他数位好友的QQ号码，结论依旧……

图4 QQ空间启用“好友验证”

QQ空间的验证功能完全失效了吗？

笔者随后借助TCPView这款网络工具查看了这个“风很凉QQ加密空间日志查看器”的TCP连接，经多番测试，结果发现它连接到几个不同IP，但是最终指向的却是同一个域名……

图5 腾讯人才招聘系统？

为什么会是“腾讯人才招聘系统”？细心的网友可以留意到浏览器上方的地址：imgcache.qq.com，这似乎是个常见的地址。此外它的二级域名也令人遐想。

莫非是因为所有的QQ空间日志，都被缓存到服务器？当然，更加深入的分析就是腾讯或者“黑客”方面的事情了……

再分析一下这款“风很凉QQ加密空间日志查看器”：目前它只能读取10篇日志，究竟是这个是疑为腾讯新漏洞的服务器限制，还是该作者故意有所保留？或者，这是一款“试用版”，而“收费版”则可以具备完全没有限制的强大功能？不得而知。

到截稿为止，腾讯方面还没有封锁这一漏洞。那么对于广大的QQ用户来说，如何避免自己的隐私不被泄漏呢？这里教大家一个方法。由于“风很凉QQ加密空间日志查看器”目前只能查询前10篇QQ日志信息，所以可以在自己的QQ日志加上10篇无用的更新。这样一来，就算有人窥视了自己的QQ空间，也还是看不到有用的信息，从而暂时让自己的隐私不被别人发现。