某腾讯站点漏洞实例

*游*-腾讯官方游戏平台

虽然该漏洞已经修复，但是出于安全考虑，还是把URL---名称 打码一部分，请谅解

该漏洞危害，通过QQ，获取 任何注册过用户的手机号信息

------------------------------------------------------------------------------

我们先通过审查元素。在该站下，找一个 泄露出来的QQ账户

http://xxxxxx.qq.com/p/discuss/articledetail/iProductID/145/iArticleID/622770632079/iClassID/30690

审查元素 发现某一个用户QQ

并且还是该站运营的

如下 URL 请求是通过 请求个人 信息 泄露出来的 URL 

http://xxxxxr.qq.com/user/testuser/userdata?iTargetQQ=

我们输入到QQ=里面看看

成功出来手机号

加上论坛 包括 网站平台并没有加密任何QQ号

所以这里可以获取 任何注册过用户的手机号信息

此次交流仅提供一个学习挖掘思路的一个手法，请勿用于非法用途，谢谢