突破校内网隐私设置手册

By phyfox | 9月 28, 2008

本文作者首发[http://phyfox.org]

前边狐狸强调过,你的校内网信息并不安全。当然那篇文章只是从大面上指出校内的隐患,增强账号防盗意识。今天我们就来看看校内具体的安全漏洞:不用任何的黑客技术手段就可以访问设置了隐私策略的页面。其实这是因为校内的隐私设置是仅限于个人主页的。

那么问题就变的很简单了,就是获得对方的id。登陆到你的校内,点击他的页面,当然你并不能访问。不过我们不关心是吧呵呵,我们要的是id。看你的浏览器地址栏是不是有这样的url

http://xiaonei.com/getuser.do?id=0123456789

注意到红色的数字了吗,那就是我们所需要的id。你只需要将下边的*****替换成该id就可以了

个人页面:http://xiaonei.com/getuser.do?id=******(如果设置了隐私则看不到此页)

 

日志:http://blog.xiaonei.com/GetBlog.do?id=******&gal=buh

 

与他相关的日志:http://blog.xiaonei.com/SomeoneRelativeBlog.do?id=******

 

头像相册:http://photo.xiaonei.com/getalbumprofile.do?owner=******

 

他的分享:http://share.xiaonei.com/share/ShareList.do?id=******

 

相册列表:http://photo.xiaonei.com/getalbumlist.do?id=******

过多的狐狸就不列举了,如果校内出什么新功能也不要紧。首先打开你自己页面的该功能,获取url格式,然后想其中的id替换就可以了。狐狸测试了只有好友能查看的主页的日志,效果完美。欢迎朋友们继续测试,并写出相应的结果呵呵。

校内好地方,申请需谨慎

标签:校内, 校内网, 隐私设置

相关日志

Topics: 互联网络 |26,364 次阅读|

38 comments | Add One

  1. chommy - 09/28/2008 at 4:33 下午

    要是这样的话,那校内网太没技术含量了吧。没有隐私之说了。。。。

  2. phyfox - 09/28/2008 at 4:49 下午

    chommy:
    这个难说,毕竟大部分内容还是能够隐藏的。比如你设置为只有好友能够查看你的页面。我虽然用上述方法能够查看你的留言板,但是并不能留言。测试的时间发现可以正常的对文章进行评论。
    在校内上还是慎重一些好,没有想象中的那么安全。我也是在账号被盗后才开始关注的

  3. 骑驴哼哼 - 09/29/2008 at 6:01 下午

    没玩那个~
    技术的东西,不懂

  4. phyfox - 09/30/2008 at 11:47 上午

    骑驴哼哼:
    呵呵校内联系同学还是比较方便的

  5. lisa - 11/7/2008 at 7:55 下午

    如果这样对方能看到我进去到他的主页吗、

  6. 路璐 - 11/7/2008 at 8:11 下午

    请问怎么看留言呢。上面只有写看日志照片之类的。

  7. phyfox - 11/8/2008 at 8:31 上午

    路璐:

    http://xiaonei.com/getgossiplist.do?id=********&age=recent

    告诉你一个方法,就是随便打开一个人气之星。假设你想看留言,那么你就打开他的留言页,这样你就得到网址。不过值得注意的是,打开是“所有留言”“全部相册”“所有日志”等带有“全部”“所有”字眼的页面。

    多试几次就好了

  8. phyfox - 11/8/2008 at 8:33 上午

    lisa:
    看不到,因为你并没有进入他的主页。如果你实在担心,就另外注册一个小号就可以了

  9. 路璐 - 11/8/2008 at 6:37 下午

    我有试你说的办法把他的ID号码复制进去。可是显示说我没有权限。请问怎么做啊
    谢谢啊。

  10. 狐狸 - 11/9/2008 at 10:02 上午

    我只测试过,不同网络,只有好友能够查看。黑名单没有测试过。你可以按照文章介绍的方法,自己查看一下。
    如果还不可以,可能是他的设置比较强,单独的为留言设置了隐私。
    (本方法不适用主页,只适用于某些功能)

  11. ethan - 11/23/2008 at 8:51 上午

    是不是设置了隐私 就不能进入.....郁闷..

  12. ethan - 11/23/2008 at 9:07 上午

    设置了隐私 所有的都进不去吧??

  13. wedding dresses - 11/23/2008 at 2:02 下午

    是的,我进不去

  14. 狐狸 - 11/23/2008 at 4:24 下午

    ethan :
    是这样的。如果只是在校内的首页设置了隐私,那么他的具体应用,比如说留言,日志,相册是可以突破的。如果他在应用上也设置了隐私,就不可以了。

  15. a - 11/23/2008 at 4:37 下午

    wedding dresses:
    不太明白你的意思

  16. han - 11/23/2008 at 7:39 下午

    现在好像失效了

  17. han - 11/24/2008 at 2:37 上午

    的确失效了 郁闷啊

  18. 狐狸 - 11/24/2008 at 8:40 上午

    han:我测试了一下,的确是失效了。其实这是一件好事,可以更好的保护用户的隐私。
    如果你特别想不留痕迹的看别人的校内,还是使用马甲吧。这个过程你可能需要别的学校的账号,其实获得很简单:到百度注册一个账号,然后登陆百度知道,你会有25分的积分,用这些积分悬赏,让别人帮你注册一个目标学校的id。会有不少人给你账号的

  19. 路人甲 - 12/3/2008 at 11:42 上午

    测试了一下,还是好用的,但是需要你蒙对照片或者日志对应的ID号,如果有算号器就好了……呵呵

  20. 狐狸 - 12/3/2008 at 9:03 下午

    路人甲:谢谢你的反馈,id账号可以直接从他的url中获取

  21. 路人X - 12/3/2008 at 11:26 下午

    你好,很可惜我发现这个方法已经进不去了。您还有办法能帮我看到相册吗

  22. 路人X - 12/3/2008 at 11:27 下午

    跪求指点。感激不尽

  23. 路人甲 - 12/4/2008 at 8:15 上午

    狐狸 - 12/3/2008 at 9:03 下午
    路人甲:谢谢你的反馈,id账号可以直接从他的url中获取
    =====================
    现在相册的地址是http://photo.xiaonei.com/getalbum.do?id=AAAAAAAAA&owner=BBBBBBBBB
    其中B才是指代用户ID的数字,前面的A指的是相册在校内网的代码。很可惜,现在还没分析出它的排列规律,所以只能撞运气:)

  24. 路人X - 12/4/2008 at 9:34 上午

    谢谢了,那么如何去碰运气试出a来呢?

  25. 路人甲 - 12/4/2008 at 10:37 上午

    路人X - 12/4/2008 at 9:34 上午
    谢谢了,那么如何去碰运气试出a来呢?
    =====================
    我试了别人(非好友)的相册,用他的ID做A和B,即A=B,成功进去了,但是试我自己的却不行。
    所以我说一个办法就是知道校内A的排列规律进行推算,要么编个软件用最笨的办法去挨个数字试……
    期待高手解答啊

  26. 路人X - 12/4/2008 at 10:49 上午

    9位数啊。能试出来都中100次500万了。呵呵。期待高手

  27. 狐狸 - 12/4/2008 at 3:07 下午

    路人X:
    路人甲:
    呵呵,不好意思狐狸现在忙着考试,没有太多的时间仔细的分析。如果你们找到好的规律,分享一下,大家方便大家。

  28. 小云 - 12/9/2008 at 12:47 下午

    期待狐狸大人早日分析出来呀

  29. 狐狸 - 12/9/2008 at 2:21 下午

    小云:呵呵,尽量

  30. 路过 - 12/19/2008 at 3:53 下午

    你好 我怎么不会呢 没看明白。这方面有点白痴。就是那个人设置了访问权限,是不是就什么都看不了了。我根本进不去啊?

  31. 狐狸 - 12/20/2008 at 11:41 上午

    路过:呵呵好像是校内已经弥补这个漏洞了

  32. han - 12/24/2008 at 4:37 下午

    期待高手
    狐狸也快点研究新方法啊:)

  33. 狐狸 - 12/25/2008 at 7:35 下午

    han:呵呵恐怕是没有新方法了。比如sql注入之类的已经属于黑客范畴的,是非法的

  34. GUO - 01/13/2009 at 3:08 下午

    没用啊 急。

  35. 肥狐狸 - 02/13/2009 at 2:27 下午

    guo:嗯,已经失效了。建议还是使用马甲吧

  36. o - 02/21/2009 at 5:21 下午

    不管用了…郁闷…

  37. 用百度知道做博客/网站推广的9大注意事项 | 老T博客™ - 04/28/2009 at 6:36 下午

    [...] 4.尽量的不要直接使用主链。http://phyfox.org/how-to-break-the-xiaonei-privacy-settings.html比http://phyfox.org哪一个更像是广告链接的。我的的经验是如果你在回答中加入的主链超过三次(即回答三个问题)基本上你的回答就会全部被删除。 [...]

  38. 百度知道做博客/网站推广的6个高级进阶用法 | 老T博客™ - 04/28/2009 at 6:38 下午

    [...] 第三如果没有相关链接但是你又想留到回答中怎么办呢。你可以自己生成链接啊,比如人家问“怎样突破校内网隐私设置啊?”你没有相关文章,但是你可以生成一个,也就说编一个。如http://phyfox.org/how-to-break-the-xiaonei-privacy-settings.html。那么流量就倒入你的网站或博客了。确切的说是导入404页面了,你接下来要做的就是自己设计一个诱人的404页面了 [...]

Leave a Comment

Name:

E-Mail :

Website :

Comments :

RSS

热文推荐

Search

博客新闻源


热评虾米


评论最多


最新回复

  • 结婚礼物: 百度知道大量带链回答问题,小心会...
  • Best: 独立博客最大问题还是传播渠道,不...
  • xiaoxiao: abc...
  • xiaoxiao: 我在申请域名的过程中,它要选择很多...
  • 柒月蔷薇: 你好啊,搜索Godaddy搜到你这里的,看...
  • tao: 问一下你的网站是用现在的代码,还...
  • seksee: really helpful, but i'd like to know how did you ...
  • 小家电: 感觉技术的因素如果不是专业可以忽...