现在的位置: 首页 > 看点 > 正文    Laomo.meQQ群

速盘Speedpan上传用户数据,第三方百度网盘客户端是黑科技还是黑产?

2019年02月13日作者:网友分享 看点 ⁄ 阅读 21,724 次
 
Laomo.meQQ群  社区  电报  |  Office正版2折  |  IDM下载器6折  |  Win10正版2折  

使用百度网盘的小伙伴肯定都知道一些第三方的客户端,像速盘Speedpan、PanDownload等都是比较知名的产品,因为官方版的百度网盘客户端会限制普通用户的下载速度,逼着普通用户冲钱成为会员,所以第三方百度网盘客户端业都打着不限速的黑科技旗号进行宣传。

那么,到底第三方百度网盘客户端是黑科技还是黑产呢?Laomoit.com

吾爱论坛的“左右1906”为大家提供了一份关于速盘Speedpan上传用户数据的分析,以下为原文:

分析“速盘-speedpan”上传用户数据

速盘是一个知名的百度网盘下载工具了,几乎是无人不知 ,但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析全过程。首先下载速盘工具(下载地址速盘官网:http://www.speedpan.com)并打开打开速盘下载工具,看到其告知需要登录才能下载:

于是登录了百度网盘账号,并使用了里面的分享并下载方式:

在这时打开了抓包软件,抓取奇数据包,在数据包中,发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包,而数据包中发送的内容却包括在速盘登录的账号的cookie数据:Laomoit.com

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

老殁,殁漂遥,laomoit.com,shaoit,laomo.me,mopiaoyao

而通过截图可以看到,在发送的cookie中,包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借这个,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号,甚至由于百度各个旗下产品公用统一的SSO(单点登录)进行登录,所以速盘服务器端甚至可能可以登录其他百度产品(如:百度贴吧,百度知道……)。

以上是分析全过程,希望使用速盘的朋友予以重视,修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全。Laomoit.com

-----------------------------------
文件名称:speedpan_1.9.13.7z
样本下载:https://pan.baidu.com/s/1NfRZSQ9wcZ-WpWPOLXLawA 提取码: vxry
备份下载:https://yunpan.360.cn/surl_yFAJsgcxkrSLaomoit.com
解压密码:52pojie

老殁小议

关于第三方百度网盘客户端,老殁也一直持观望态度,数据无价,把自己的帐号交给非官方的第三方必然是存在一定风险,像Speedpan和PanDownload这样的百度网盘第三方客户端并不是个例,其他类型的像第三方修改的手机QQ客户端(比如Tmore曾出现用户数据泄漏等问题)也存在盗取用户帐号密码的风险,至于第三方的辩解,我们也应该做到心里有数,没人会承认自己作恶,仁者见仁智者见智,萝卜青菜各有所爱,大家自己注意吧。

欢迎留言评论,文中涉及厂商不要跟我白费口舌,一律不看不回应,吃鸡忙,没时间。

              👍 点赞              
免费素材 190617-190623

相关推荐

发表评论

目前有 43 条留言    访客:41 条, 博主:2 条       申请 🧑🏻留言头像     Laomo.meQQ群

  1. test 2019年05月20日 下午12:22  Δ21楼 回复
    Google Chrome 74.0.3729.108 - Windows 10 x64 Edition

    昨晚19点左右贴吧突然提示被封禁,我看了一下,有很多被删莫名的回复,我自己并没有发过。也没有异常登录的提示,用了第三方网盘这么长时间了没出问题,经历了昨晚的事情,有点不敢用了。

  2. 圣佳电脑 2019年04月26日 上午1:58  Δ22楼 回复
    Google Chrome 63.0.3239.132 - Windows 7 x64 Edition

    说真的,要不是现在下点东西都只有百毒有资源,我想我这辈子都不会认识百毒。为了这个专们用一个废弃手机号申请的百毒,密码123654..如果可以我都想把密码改成12345678

  3. 佚名 2019年04月16日 上午9:58  Δ23楼 回复
    Firefox 66.0 - Windows 7 x64 Edition

    怕账号问题用个小号就是了,多容易的事。再说度犬的账号有啥价值

  4. 耀武扬威 2019年03月19日 下午7:58  Δ24楼 回复
    Sogou Explorer - Windows 10 x64 Edition

    像我这种百度网盘账号没什么价值的 但是和qq号绑定的有木有安全隐患

  5. yeafine 2019年02月21日 下午1:23  Δ25楼 回复
    QQbrowser 10.3.2991.400 - Windows 10 x64 Edition

    转自52论坛软件作者的1月21日回复:
    因为这个分析发现了一个疏忽的地方:访问网络的函数是百度云对象的成员函数,而cookie是对象的属性之一,每次访问网络都会设置cookie(如果已经登录),所以才会出现获取加速链接时设置了cookie,设置cookie和上传cookie是两回事,虽然技术上讲也可以提取。
    明天更新会加上判断,不需要cookie的地方不带cookie。
    速盘从诞生时起就提倡免登录下载,可以说免登录这个概念都是速盘提出的。
    因为一个代码上的疏忽导致速盘被黑,我深感无奈。如果对速盘有所怀疑,请不要使用速盘。
    我很懒,也很怕麻烦,所以这是第一次,也是最后一次主动澄清,明天会更新一下,修复这个问题。喜欢恶意揣测的,黑子们请随意。

  6. 美妙人生 2019年02月15日 下午7:22  Δ26楼 回复
    Google Chrome 71.0.3578.98 - Windows 10 x64 Edition

    默默关注好久了,搬运别人的什么的也就算了,一直不想说什么,这次52的水印都不去,直接加自己的水印,呵呵。。。

    • 2019年02月17日 下午12:06  ∇地下1层 回复
      Google Chrome 71.0.3578.98 - Windows 10 x64 Edition

      吾爱论坛的“左右1906”为大家提供了一份关于速盘Speedpan上传用户数据的分析,以下为原文:
      自己睁大眼睛看看,老殁可没说是自己写的。


      • 城 管
        老殁 2019年02月18日 下午3:01  ∇地下2层 回复
        Google Chrome 69.0.3497.100 - Windows 10 x64 Edition

        哈哈,不用和傻X较劲,容易被他把智商拉到地平线以下,与其和狗讲道理,不如放狗一条生路,别和狗抢道,让狗先过不丢人。

    • 花想容 2019年02月20日 下午1:49  ∇地下1层 回复
      Firefox 54.0 - Windows 10 x64 Edition

      拜托你看完了文章在BB,内容不知道还来说三道四,这样就不好了!

    • 2019年02月21日 下午9:37  ∇地下1层 回复
      Google Chrome 71.0.3578.98 - Windows 10 x64 Edition

      关注这么久也没解决你眼瞎的毛病啊?

  7. 2019年02月15日 上午10:25  Δ27楼 回复
    Google Chrome 57.0.2987.98 - Windows 10 x64 Edition

    有cookie可以直接模拟账户啊
    速盘这确实不讲究了
    这个百度没法背锅的..

  8. 山上石 2019年02月15日 上午12:21  Δ28楼 回复
    Google Chrome 69.0.3497.100 - Windows 10 x64 Edition

    不是更新了么?

  9. Steven.Wong 2019年02月14日 下午9:57  Δ29楼 回复
    Firefox 65.0 - Windows 10 x64 Edition

    感觉似的。所以现在还是老老实实百度网盘客户端。讲真,虽然暂时没钱买会员,总归相对安心一些。或者不使用登陆的工具我也可以接受。。。。
    众说纷纭,你不研究下还真不太敢用 ……

  10. fish8boy 2019年02月14日 下午2:36  Δ30楼 回复
    Google Chrome 69.0.3497.100 - Windows 10 x64 Edition

    开了安全登录提示、多次验证等等手段的,难道直接用那个什么BDUSS也直接登录?那这个该是百度的锅啊,你能有的安全手段我都用了,最后却发下毛用没用,即使不用第三方登录,其他恶意软件就没法获取那个BDUSS了!!!!

    • zwqzewzr 2019年02月14日 下午11:58  ∇地下1层 回复
      Firefox 65.0 - Windows 10 x64 Edition

      如果百度禁止bduss登录,那么就不能保存登录状态,你想用你的账户干任何事情都得输一次密码(例如查看文件等等)

    • zwqzewzr 2019年02月15日 上午12:00  ∇地下1层 回复
      Firefox 65.0 - Windows 10 x64 Edition

      这些安全手段都是防止登录的,但是bduss是登录之后的认证手段,所以这些都没用

      • Boysen 2019年02月18日 下午2:56  ∇地下2层 回复
        Google Chrome 71.0.3578.98 - Windows 10 x64 Edition

        先开启安全验证,再修改密码。我想改密码之后,以前登陆过的信息都会失效吧