V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
520discuz
V2EX  ›  分享发现

这算是 QQ 互联的 BUG 吗?

  •  
  •   520discuz · 2023-04-09 22:26:30 +08:00 · 2422 次点击
    这是一个创建于 621 天前的主题,其中的信息可能已经有所发展或是发生改变。
    隔壁站看到的,用 QQ 互联登录后这个网页就会把你所有的好友列表 QQ 列出来,说明你的所有好友的 QQ 号已经被这个网站有能力获取了`看来以后不能随便登录那些 QQ 互联的小站了
    18 条回复    2023-04-10 13:58:48 +08:00
    520discuz
        1
    520discuz  
    OP
       2023-04-09 22:31:05 +08:00
    网址我先删掉了,还好 V 站有十分钟编辑功能。。。想了下怕 TX 找麻烦,如果想要网址的话可以自己去隔壁找。。。
    520discuz
        2
    520discuz  
    OP
       2023-04-09 22:33:55 +08:00
    发这个帖子就想给大家提个醒,只要你用 QQ 登录了网站,如果网站站长知道利用该漏洞,那么站长就有可能知道谁谁谁是你的好友。
    dqzcwxb
        3
    dqzcwxb  
       2023-04-09 22:40:07 +08:00
    https://wiki.connect.qq.com/%e5%bc%80%e5%8f%91%e8%81%94%e8%b0%83%e7%9b%b8%e5%85%b3%e9%97%ae%e9%a2%98

    3. 通过使用 QQ 登录能否获取用户的 QQ 号码?
    不能。用户登录成功后跳转回网站时,URL 中传递的是 openid 而非 QQ 帐号,openid 是经过转换的字符串。
    此外,QQ 帐号涉及用户隐私,接入 QQ 登录的网站应该遵守开发者协议不允许以任何理由获取或用户 QQ 帐号相关的信息。

    但凡看一眼,也不至于一眼都没看
    miyuki
        4
    miyuki  
       2023-04-09 22:49:23 +08:00 via iPhone   ❤️ 1
    找了下

    地址(不要随意授权登录): https://tool.teqiyi.com/hl/demo.php

    令人惊奇的是授权界面仅要求了 昵称和头像 一个权限
    520discuz
        5
    520discuz  
    OP
       2023-04-09 23:00:20 +08:00
    @dqzcwxb 我帖子在说 BUG ,然后你在和我谈官方规则?
    520discuz
        6
    520discuz  
    OP
       2023-04-09 23:01:43 +08:00
    @miyuki 勇士 你敢发这个网址 我不敢。。。
    dewi
        7
    dewi  
       2023-04-09 23:49:17 +08:00 via iPhone
    @520discuz 这个 bug 的原理是啥,好牛逼的感觉。
    coolfan
        8
    coolfan  
       2023-04-10 01:00:31 +08:00
    这算是恶性 bug 了嘛😢有没有机会上个热搜😋
    Ericcccccccc
        9
    Ericcccccccc  
       2023-04-10 01:07:11 +08:00
    有复现截图吗?
    pengpengpeng
        10
    pengpengpeng  
       2023-04-10 01:11:41 +08:00
    隔壁站是指哪里?
    Salticey
        11
    Salticey  
       2023-04-10 01:20:12 +08:00 via Android
    @miyuki 这个不会就是钓鱼网站吧。。
    crab
        12
    crab  
       2023-04-10 01:21:23 +08:00
    @pengpengpeng hostloc
    lscho
        13
    lscho  
       2023-04-10 08:14:55 +08:00 via iPhone
    qq 的数据被泄露过很多次了,大概率不是 qq 互联的问题。而是之前泄露的数据。

    验证方法很简单,新加个 qq 好友,然后去登录,完了看看有没有这个好友。没有就证明是之前泄露的数据。
    luckjoe680
        14
    luckjoe680  
       2023-04-10 08:54:25 +08:00 via Android
    @dqzcwxb 这里也能乳翔吗 哈哈哈哈 小肚皮生气了!
    520discuz
        15
    520discuz  
    OP
       2023-04-10 09:19:41 +08:00
    @lscho 是个好方法
    lizheming
        16
    lizheming  
       2023-04-10 10:07:44 +08:00
    @lscho 但是 QQ 互联怎么映射到 QQ 号的,QQ 互联理论上最多只能拿到 uionid ,拿不到 QQ 号才对。即使有泄露那也应该是 QQ 互联相关的数据有泄露?
    520discuz
        17
    520discuz  
    OP
       2023-04-10 11:05:32 +08:00
    @lizheming 是的 说到底还是 QQ 互联有 BUG
    danbai
        18
    danbai  
       2023-04-10 13:58:48 +08:00
    404 了..
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 00:39 · PVG 08:39 · LAX 16:39 · JFK 19:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.