原文如下:
速盘是一个知名的百度网盘下载工具了,几乎是无人不知 ,但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析全过程。
首先下载速盘工具(下载地址速盘官网:
http://www.speedpan.com)并打开打开速盘下载工具,看到其告知需要登录才能下载:
于是登录了百度网盘账号,并使用了里面的分享并下载方式:
在这时打开了抓包软件,抓取奇数据包,在数据包中,发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包,而数据包中发送的内容却包括在速盘登录的账号的cookie数据:
而通过截图可以看到,在发送的cookie中,包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借这个,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号,甚至由于
百度各个旗下产品公用统一的SSO(单点登录)进行登录,所以速盘服务器端甚至可能可以登录其他百度产品(如:百度贴吧,百度知道……)。
以上是分析全过程,希望使用速盘的朋友予以重视,修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全
文件名称:speedpan_1.9.13.7z
CRC32: 4CE28389
MD5: 51AE6D761DCC45BDD43CA5938B22A727
SHA-1: 6D546D7628A32C3043FD08AB9391F68698487815
由于文件超过限制大小,上传百度云!
样本下载:链接:
https://pan.baidu.com/s/1NfRZSQ9wcZ-WpWPOLXLawA 提取码: vxry
原帖:
https://www.52pojie.cn/thread-856862-1-1.html 
