QQ 移动端访问控制策略小窥

起因

今天在学习 SRC 发掘的时候，看到很多介绍文章其实在 Hackone 上就有应用例，然后看到一篇需要权限访问的文章，遂要求登录。

还没有个人账号，于是注册一下，到最后一步得到一个邮箱确认链接：

由于是公司电脑，没有装额外通讯软件，遂在手机 click，果不其然被 QQ 拦截了（这个做的真的不行）：

于是我把链接 copy 到 PC 上，重新访问，结果弹出该链接已经被使用了的页面，并且可以要求 Resend：

推测

我顿了一下（柯南 BGM）：这个确认链接（token）已经被访问，只有可能是我刚才手机 click 了 button 导致的，也就是发送了请求（request），但是没有收到正确回应（response）。

即 TX 是帮你请求过一次链接的（说好听点是帮你，说不好听就是劫持= =），他拦截的只是响应包。

• 这样会有两个问题：

1. 服务端是否是不分情况就去请求了这个链接的，如果换做是其他小公司的服务端这个策略应该是有问题的。
2. 你是按照什么来判断网站不合规的？证书？白名单？响应包内容？
   如果是证书，很多 http 链接就会被误报；如果是白名单，那么不需要放行请求（request）就可以判断并拦截；如果是响应（response）内容，为什么 Hackone 还是拦了？

验证

在朋友（无中生友）的提醒下，发现可以用 dnslog 一试就能验证是否是进行了请求而拦截响应：

其实我都不用打码，反正一个是 TX 的 ip，一个是电信的移动 ip

结语

也就是小小发现而已，或许还火星了，记录一下
PS：微信现在还没有拦截限制好像，从那个上面倒是可以直接访问链接

蓝色的地平线

别问我为什么一个月多都没写博客感觉是面试通过了门面撑好了博客就不需要更新了(￣ε(#￣)☆╰╮o(￣皿￣///)

其实不然（借口），主要是“搬家 + 居家隔离 + 天天核酸”的套餐搞得自己没有太多精力去把技术类的东西再搬过来……你想让我说因为放了几个月假没上班最后能有几天就一直在玩 Monster Hunter Rise：Sunbreak吗？！

所以嘛，到了现在我已经上了三个星期的班了，新工作环境还不错，但也多少有点压力，不过还好，至少现在我还能有时间在公司码几篇博客传上来，希望之后也有这样的时间来学习一些东西。

现在工作上接触到漏洞的发现、验证、利用场景比较多，之后应该会多更新整合这方面的学习内容；还会接收到很多SRC过来的漏洞，也会学习学习手法（但大多都比较简单应该不会碎片化记录，整合下可能性微存？懒）

欸，又回到这种每天白开水预设的生活了，该说要每天能给自己掺点有意思的东西比较好（于是就发生了快凌晨2点被提生产环境上线复测漏洞的情况）

「不要被他人所命令所急迫，自己要有自己的度量」

话说今天是七夕欸，V我50(´◐∀◐`)

这篇文章叫“蓝色的地平线”（ブルー・ホライズン），是因为在写完这篇时，刚好随机到《记录的地平线》第三季ED，名为《ブルー・ホライズン》（天国的第四季）。

关于泰拉大陆第一拖拉机骑手再被加强那些事

“风笛已经是版本T0打野了，还要加强，还加强两波，策划玩不玩游戏啊！明日方舟设计师，你看看她！” ——刚走出MSI氛围的呱呱如是说到