群聊和私聊都可以抓包看到图片的 URL , 且可以直接 GET 访问看到图片内容
自己发送的图片没抓到 , 只抓到接收的群聊和私聊图片
目前是在 QQ for Mac 端(App Store 下载的最新版)抓取到的 , 其他平台尚未测试
私聊抓包截图: https://imgur.com/99QaPun
群聊抓包截图:
隐私已打码 , 图中的 IP 地址都属于 gchat.qpic.cn , 且该域名属于腾讯
相关内容:
2017 年 V2 就有用户提出了这个问题 , https://www.v2ex.com/t/362222
https://www.zhihu.com/question/303715433/answer/542685038
1
wpblank 2020-02-20 14:48:46 +08:00
我加的一个群就有防撤回机器人,有人撤回图片的话,他就把撤回的图片 url 复读一遍 2333
|
3
dototototo 2020-02-20 16:13:09 +08:00 via Android
@xmi 是必须要有。
|
4
fancy111 2020-02-20 16:17:31 +08:00
你不会以为加密了就安全了吧?
|
5
subpo 2020-02-20 16:20:27 +08:00
我有一个朋友想看原图
|
6
yghack 2020-02-20 16:25:36 +08:00
微信的图片视频也是这样
|
7
ysc3839 2020-02-20 16:27:01 +08:00
可能是故意不上 https 省钱?
|
8
Mitt 2020-02-20 16:43:26 +08:00
@fancy111 问题在于如果不加密 运营商或者你同局域网的人就可以根据你的图片链接知道你的 QQ 号码,还可以截取你的图片,https 防的不是服务商,是中间人
|
9
lijun00326 2020-02-20 16:43:31 +08:00
@fancy111 比不加密的话能被看得底裤都不剩好得多吧
|
10
lxk11153 2020-02-20 17:06:42 +08:00
私聊的是啥图?我有一个朋友想看原图+1
|
11
Love4Taylor 2020-02-20 17:48:06 +08:00 via Android
所以只能全局代理了
|
12
dremy 2020-02-20 19:52:40 +08:00 via iPhone
为了中间商更方便吧……反正隐私对他们来说都不值钱
|
13
Raynard 2020-02-20 19:54:37 +08:00
故意的,
你懂的。 |
14
Buges 2020-02-20 19:56:23 +08:00 via Android 1
本着不对第三方泄漏数据的原则,买个腾讯云小鸡挂代理上 QQ 吧。
|
15
20150517 2020-02-20 20:10:32 +08:00
故意的,运营商规定群图片必须要能读取,然后腾迅只能用这办法
|
16
zzkde 2020-02-20 20:30:27 +08:00
之前用 arp 欺骗抓包的时候也发现了,挺好奇的...
|
18
lyoume OP @subpo @lxk11153 #5 #10 我差点想把图片发到 QQ 然后抓包把链接发给你们的朋友了
相关线索 https://send.firefox.com/download/42147d7518879982/#9eitEatQP3hEVV-Lx_shLA |
19
QUIOA 2020-02-20 22:03:34 +08:00 via Android
你想咋利用
|
21
ddsfeng 2020-02-20 22:46:42 +08:00
@lyoume 你可以试一下把 URL 中的 QQ 号改成任意一个数字, 一样可以正常访问那张图片.
URL 中后面的那段 类似 UUID 的才是关键, 前面的数字, 只能说是为了某种目的, 把 QQ 号拼上去了而已. |
22
594duck 2020-02-21 06:20:20 +08:00 via iPhone
抓你方便
|
23
gavindexu 2020-02-21 09:31:33 +08:00 via iPhone
审查用?可以快速知道是谁发的图,那直接转发是什么效果呢?
|
24
BrettD 2020-02-21 13:52:26 +08:00 via iPhone
公司企业网络的聊天软件内容监控系统就是利用这些来收集记录员工聊天内容的
|
25
roadwide 2020-08-02 11:07:11 +08:00
现在已经加密了
|