QQ空間出現的盜號手段是什麼原理？非常詭異。

01-13

以下內容直接複製於我在某論壇帖子內容，不要反感。。謝謝。

首先會有人在QQ空間發布一個內容為「聚會視頻」，「美女搖擺舞」之類的視頻鏈接，你如果點進去，真的就是視頻，沒有任何問題，但重點來了，在你什麼也沒輸入的情況下你的號碼就被盜了。這時你的號碼就會發布一條跟剛才一樣內容的分享，好友列表會出現一些你不認識的人。整個過程不超過三十秒。

我正在找鏈接地址，找到了看看網頁代碼有什麼問題。
提醒一下，看到這樣的分享千萬不要點。

在烏雲看到類似的漏洞，騰訊手機QQ空間一處漏洞可導致用戶sid泄漏，但這個應該不是sid的泄露，因為觸屏版QQ空間並沒有使用sid.但不排除某漏洞能獲取sid的可能。

謝邀,然而LS的回答們都很清楚了。xsscsrf的可能性很大。

建議直接wireshark分析下數據包。

另外涉及到qq空間的cookies問題.. 我也的確不清楚現在採用全局httponly沒有。但是應該也可能出現一些繞過的方法。

綜合考慮 csrf的可能性最大。

就算url裡面帶上了sid也沒用，因為QQ空間跳轉到外域的時候都會先經過一個橋頁，那個橋頁的url裡面已經沒有sid了

剛剛沒事看了一下

發現ctc.qzs.qq.com和QQ空間-分享生活，留住感動域下的所有cookie竟然都沒一個有httponly。。。最關鍵的QQ空間-分享生活，留住感動域下只有superkey等欄位有httponly

csrf無誤，題主對xss有誤解，xss並不是要彈出框，通常是載入一個外部js文件。一般用來獲取cookie和url之類的東西。而且qq空間的安全系還是很高的，拿到cookie是沒辦法直接驗證身份的，他會檢查你的ip。所以不可能是有人用你的cookie登錄上來的，所以最大的可能性就是csrf。訪問就轉發，這種東西，就跟微博裡面的csrf看到就關注是類似的，去烏雲找找csrf的相關漏洞看看就明白了