这算是 QQ 互联的 BUG 吗?

2023-04-09 22:26:30 +08:00
 520discuz
隔壁站看到的,用 QQ 互联登录后这个网页就会把你所有的好友列表 QQ 列出来,说明你的所有好友的 QQ 号已经被这个网站有能力获取了`看来以后不能随便登录那些 QQ 互联的小站了
2377 次点击
所在节点    分享发现
18 条回复
520discuz
2023-04-09 22:31:05 +08:00
网址我先删掉了,还好 V 站有十分钟编辑功能。。。想了下怕 TX 找麻烦,如果想要网址的话可以自己去隔壁找。。。
520discuz
2023-04-09 22:33:55 +08:00
发这个帖子就想给大家提个醒,只要你用 QQ 登录了网站,如果网站站长知道利用该漏洞,那么站长就有可能知道谁谁谁是你的好友。
dqzcwxb
2023-04-09 22:40:07 +08:00
https://wiki.connect.qq.com/%e5%bc%80%e5%8f%91%e8%81%94%e8%b0%83%e7%9b%b8%e5%85%b3%e9%97%ae%e9%a2%98

3. 通过使用 QQ 登录能否获取用户的 QQ 号码?
不能。用户登录成功后跳转回网站时,URL 中传递的是 openid 而非 QQ 帐号,openid 是经过转换的字符串。
此外,QQ 帐号涉及用户隐私,接入 QQ 登录的网站应该遵守开发者协议不允许以任何理由获取或用户 QQ 帐号相关的信息。

但凡看一眼,也不至于一眼都没看
miyuki
2023-04-09 22:49:23 +08:00
找了下

地址(不要随意授权登录): https://tool.teqiyi.com/hl/demo.php

令人惊奇的是授权界面仅要求了 昵称和头像 一个权限
520discuz
2023-04-09 23:00:20 +08:00
@dqzcwxb 我帖子在说 BUG ,然后你在和我谈官方规则?
520discuz
2023-04-09 23:01:43 +08:00
@miyuki 勇士 你敢发这个网址 我不敢。。。
dewi
2023-04-09 23:49:17 +08:00
@520discuz 这个 bug 的原理是啥,好牛逼的感觉。
coolfan
2023-04-10 01:00:31 +08:00
这算是恶性 bug 了嘛😢有没有机会上个热搜😋
Ericcccccccc
2023-04-10 01:07:11 +08:00
有复现截图吗?
pengpengpeng
2023-04-10 01:11:41 +08:00
隔壁站是指哪里?
Salticey
2023-04-10 01:20:12 +08:00
@miyuki 这个不会就是钓鱼网站吧。。
crab
2023-04-10 01:21:23 +08:00
@pengpengpeng hostloc
lscho
2023-04-10 08:14:55 +08:00
qq 的数据被泄露过很多次了,大概率不是 qq 互联的问题。而是之前泄露的数据。

验证方法很简单,新加个 qq 好友,然后去登录,完了看看有没有这个好友。没有就证明是之前泄露的数据。
luckjoe680
2023-04-10 08:54:25 +08:00
@dqzcwxb 这里也能乳翔吗 哈哈哈哈 小肚皮生气了!
520discuz
2023-04-10 09:19:41 +08:00
@lscho 是个好方法
lizheming
2023-04-10 10:07:44 +08:00
@lscho 但是 QQ 互联怎么映射到 QQ 号的,QQ 互联理论上最多只能拿到 uionid ,拿不到 QQ 号才对。即使有泄露那也应该是 QQ 互联相关的数据有泄露?
520discuz
2023-04-10 11:05:32 +08:00
@lizheming 是的 说到底还是 QQ 互联有 BUG
danbai
2023-04-10 13:58:48 +08:00
404 了..

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/931068

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX