看到一篇人肉闲鱼骗子的文章，聊聊可行性。

你对安全一无所知

@xiaomache 能说点有用的吗？

1.违法
2.网站写的可能没有想太多，毕竟骗一个人就转场
3.一般懒得算，直接用现成的
4.确实能
5.以上个人见解

@wycmxg 骗子痕迹太重，用一个用户名

看了，厉害啊，哈哈，骗子身份证什么的竟然查到了。

现在稍微像样一点的钓鱼站都会防 xss 吧

确实违法，不过你只找一个人的，既没有进行直接人身威胁，那个人也不对泄漏报案，警察估计是不太愿意管

XSS 本身有理论可行性，就看防不防了。XSS 一直在说一直在各种修一直还是存在，说到底还是因为它需要的不是 “知晓” 而是 “时刻警惕”

人类不适合进行算数计算

sodayo，只是能直接看的珊瑚虫版没了罢了

看完了，还好吧，并没有什么太高深的技术。
js 拿 cookie 不很正常吗？问题是现在能让你把 js 插进去的页面不多了，就算能插也拿不到重要的 cookie 值，比如 session，大多是 httponly 的。
身份证那段，也算正常吧，18 位缩小到 1000 个已经不错了，不会算因为不是程序员或者计科出身吧。

一是用常用 ID 涉及诈骗这种智息操作无话可说，二来身份证查询 API 的存在，实名大国的身份证滥用也是重要原因。QQ 查 IP 我是真的理解不能，难道还有 p2p 功能不成。

值得吸取的教训就是（除大 V 那种公众账号外）无论干什么都永远使用互不关联的随机 ID （但不至于像 LZ 这样的乱码），尤其是干一些不太“光明磊落”的事的时候。常用 ID 永远是人肉的重要线索。
还有出生日期是非常重要的隐私信息，任何地方都尽量不要真实填写，因为代表身份证前几位的地区信息很容易暴露（过往言论，IP 等），加上出生日期已足以锁定个人身份。
网站漏洞反而是小问题了，记得打开 CSP

哈哈，我也换 id 了。但是很多时候即便你打字都难以改变自己的习惯，于是两个 id 的言论相似性，人家又会说是同一个人吗？

@Buges QQ 查 IP 这种事情 9102 年(0202)年了
的确还能弄
老方法就是 QQ 文件 /电话 /远程桌面
好玩些的就是 XML 消息里面插网页
QQ 会默认打开链接生成一个缩略这些
都是在对方的 IP 网络下完成的

我也搞进过钓鱼网站，还挺简单的，一般他们都没啥防护，弱口令一大把。

这个故事我觉得假的地方在 QQ 那部分，这个没那么简单。而且这个人我关注比较久了，喜欢添加一些艺术加工，大家看个热闹就好。

河边路人：麻蛋，碰到个猪队友，躺枪！

社工库了解一下 拖库的人身份证号 地址 QQ 微信 账号密码 都有的

这人说的事都是一半真一半假，当故事看就好

几年前 qq 有漏洞可以直接用 qq 号查出绑定手机号，不知道现在还有没有。

qq 拿 ip 这事我第一次知道是看旭旭宝宝直播。。

这个哥们还行呢。这一套很严谨。

0202 还有钓鱼站不防 xss，估计网站是买的。

已被发布者删除。。。