不中毒不中馬不被釣魚的情況下，qq號會被盜嗎？

01-02

是這樣的，我想知道的是黑客有沒有方法可以用一些「半入侵騰訊」的方法登到我的qq，技術上是否可行？（我安全措施做到頂級的情況下）

不知道樓主所說的QQ被盜是什麼層面？

試著從幾個角度來剖析一下，也算是給大家開個腦洞。

1）樓主所說的QQ被盜需要登錄軟體qq，獲取到qq密碼。

此類qq被盜，按照樓主所給出的需求，一般而言只有通過大數據的方式查詢社工庫得到你的密碼，此類入侵相對比較困難（如果樓主是安全意識比較高的人，在別的網站和qq密碼是不共用的情況）。

2）換個角度？假如題主說的是登錄qq業務就算qq被盜。

此類qq被盜相對比於1而言就簡單多了。

通過一個http://qq.com/*.http://qq.com域下的xss（跨站腳本），就可以獲取到你QQ的cookie以及skey等認證信息。如果說找不到怎麼辦？Android系統4.4.4以下版本存在一個通用的UXSS漏洞，通過該漏洞，黑客可以構造一個url鏈接發送給你的qq，當你在手機qq點擊之後，你的cookie等認證信息也就被黑客獲取，利用這個漏洞，黑客也是可以把你的qq給劫持的。除了xss之外，OAuth認證以及單點登錄等問題也讓QQ曾經存在這樣或者那樣被盜的風險。

詳情：

騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取

騰訊OAuth平台 redirect_uri 過濾不嚴可能導致用戶信息遭竊取（二）

騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取（三）

騰訊OAuth平台redirect_uri過濾不嚴可能導致用戶信息遭竊取（四）

騰訊單點登錄系統clientkey劫持漏洞

歷史上，通過xss漏洞盜取QQ的案例已經屢見不鮮。關於這一點，烏雲君的知乎專欄已經總結的非常詳細，強烈推薦大家閱讀：http://zhuanlan.zhihu.com/wooyun/19775419。

最後應知友要求，附思維導圖一張：

社工到你的相關真實信息後，可以猜密碼，還可以用真實信息通過「申訴」的手段拿到賬戶，也別忘了社工庫這種神器。上述手段均不需要種馬，也不需要直接釣魚。

安全最薄弱的環節往往不是技術措施，而是人。

看到樓上回答中有兩個「完全」，真捉急。

我盡量說的好理解。

關於題主說的半入侵騰訊的方式大概有XSS（獲取登錄信息，繼而以此偽裝成受害者進行操作，具體見下3），CSRF（以你的身份向騰訊伺服器發送請求，比如改密碼，見下5）

然後下面是常見幾種被盜途徑

1.弱密碼/曾在其他網站用過並泄漏的通用密碼。

2.XSS，獲取不到密碼但是能登錄你的賬戶，黑客獲取到一串字元串，用這串內容和伺服器交互，伺服器就會把擁有這串字元的人當成你。XSS代碼會被黑客嵌入在騰訊的頁面上，所以不容易被覺察，這個碰到了自認倒霉吧。對於沒有這方面經驗的人來講並不容易判斷安全與否。不過每次網頁登錄QQ及QQ其他服務時記得退出登錄再關閉網頁，這樣黑客獲取到的一串認證字元就會失效了，下次登錄時會生成一串新的。所以記得退出登錄是個很好的習慣（註：用瀏覽器的刪除記錄對此毫無幫助）

3.數據包被劫持：諸如連接不安全熱點，運營商作祟（可能不大，他們一般也就添加一下推廣鏈接）別人就可以抓取你和騰訊伺服器交互的數據，其中可能包含密碼，也可能只是一串能證明登錄的字元（別人得到就可以登錄）。

4.個人泄漏過多信息，通過申訴手段盜取。（近期聊天好友，常用登錄地點，手機，身份證，以及其他各種申訴所需信息）。這大概屬於他們說的社工範疇內。

5.CSRF，黑客構建一個頁面，當你訪問頁面的時候就會向伺服器發送請求，請求內容可能是修改密碼或者刪除好友什麼的。黑客並得不到關於你密碼的東西，而是直接以你的身份做事情。（涉及賬戶安全的CSRF出現幾率小的可憐，一般即便是有也是改改不重要的資料什麼的，平時注意不訪問安全未知的鏈接也是個好習慣）

還有其他方面歡迎補充

當然會了，無論一個安全體系設計得多麼嚴密，人始終就是這個體系中最薄弱的一環。

就拿你來說，如果某天你熟悉的某個人被黑客買通了（假設你真的有那麼重要），然後他就有可能可以接觸到你的手機，然後你的QQ就可以被盜了。

需要侵入騰訊么？

使用其他弱安全網站你留下的密碼和QQ嘗試

可以，發自區域網的中間人攻擊。（如使用同一WIFI）

盜號的可以選擇站在你背後看你怎麼輸入密碼啊

會，

入侵騰訊還是不太可能的 QQ被盜可以說全部是由於木馬導致的不明鏈接中潛伏著木馬比如那些讓你看聚會照片投票的不明鏈接背後會有木馬如果電腦不中毒沒有木馬或者密碼不被別人偷看完全不會被盜

請問蹭wifi導緻密碼泄露屬於題主說的哪一種？