*游*-腾讯官方游戏平台
虽然该漏洞已经修复,但是出于安全考虑,还是把URL---名称 打码一部分,请谅解
该漏洞危害,通过QQ,获取 任何注册过用户的手机号信息
------------------------------------------------------------------------------
我们先通过审查元素。在该站下,找一个 泄露出来的QQ账户
http://xxxxxx.qq.com/p/discuss/articledetail/iProductID/145/iArticleID/622770632079/iClassID/30690
审查元素 发现某一个用户QQ
并且还是该站运营的
如下 URL 请求是通过 请求个人 信息 泄露出来的 URL
http://xxxxxr.qq.com/user/testuser/userdata?iTargetQQ=
我们输入到QQ=里面看看
成功出来手机号
加上论坛 包括 网站平台并没有加密任何QQ号
所以这里可以获取 任何注册过用户的手机号信息
此次交流仅提供一个学习挖掘思路的一个手法,请勿用于非法用途,谢谢
网友评论