使用百度网盘的小伙伴肯定都知道一些第三方的客户端,像速盘Speedpan、PanDownload等都是比较知名的产品,因为官方版的百度网盘客户端会限制普通用户的下载速度,逼着普通用户冲钱成为会员,所以第三方百度网盘客户端业都打着不限速的黑科技旗号进行宣传。
那么,到底第三方百度网盘客户端是黑科技还是黑产呢?Laomoit.com
吾爱论坛的“左右1906”为大家提供了一份关于速盘Speedpan上传用户数据的分析,以下为原文:
分析“速盘-speedpan”上传用户数据
速盘是一个知名的百度网盘下载工具了,几乎是无人不知 ,但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析全过程。首先下载速盘工具(下载地址速盘官网:http://www.speedpan.com)并打开打开速盘下载工具,看到其告知需要登录才能下载:
于是登录了百度网盘账号,并使用了里面的分享并下载方式:
在这时打开了抓包软件,抓取奇数据包,在数据包中,发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包,而数据包中发送的内容却包括在速盘登录的账号的cookie数据:Laomoit.com
而通过截图可以看到,在发送的cookie中,包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借这个,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号,甚至由于百度各个旗下产品公用统一的SSO(单点登录)进行登录,所以速盘服务器端甚至可能可以登录其他百度产品(如:百度贴吧,百度知道……)。
以上是分析全过程,希望使用速盘的朋友予以重视,修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全。Laomoit.com
-----------------------------------
文件名称:speedpan_1.9.13.7z
样本下载:https://pan.baidu.com/s/1NfRZSQ9wcZ-WpWPOLXLawA 提取码: vxry
备份下载:https://yunpan.360.cn/surl_yFAJsgcxkrSLaomoit.com
解压密码:52pojie
老殁小议
关于第三方百度网盘客户端,老殁也一直持观望态度,数据无价,把自己的帐号交给非官方的第三方必然是存在一定风险,像Speedpan和PanDownload这样的百度网盘第三方客户端并不是个例,其他类型的像第三方修改的手机QQ客户端(比如Tmore曾出现用户数据泄漏等问题)也存在盗取用户帐号密码的风险,至于第三方的辩解,我们也应该做到心里有数,没人会承认自己作恶,仁者见仁智者见智,萝卜青菜各有所爱,大家自己注意吧。
欢迎留言评论,文中涉及厂商不要跟我白费口舌,一律不看不回应,吃鸡忙,没时间。
fish8boy 108.162.226.241 Win10+ Chrome 69.0.3497.100
Δ16楼
2019-02-14 14:36:05
zwqzewzr 172.69.33.205 Win10+ Firefox 65.0
∇地下1层
2019-02-14 23:58:55
Boysen 162.158.89.93 Win10+ Chrome 71.0.3578.98
∇地下2层
2019-02-18 14:56:02
地垫 162.158.90.122 Win10+ Chrome 63.0.3239.132
Δ17楼
2019-02-14 12:10:16
LOL 162.158.89.93 Win10+ Chrome 71.0.3578.98
Δ18楼
2019-02-13 20:20:25
fnz2017 108.162.215.180 Win10+ 搜狗浏览器 2.X
Δ19楼
2019-02-13 17:04:40
程序原 108.162.215.204 Win7 Maxthon 4.4.8.2000
Δ20楼
2019-02-13 16:47:27