今天就让我来说说腾讯QQ的一个安全漏洞。这个漏洞早在2010年我就发现，那时候只是一时兴起，通过这个漏洞窃取了同个培训班同学的QQ，当然了，只是玩的心态，没有触犯别人的任何利益。
这几年来我也一直有关注这个问题，时不时试一下。今天试了一下，令人惊讶的是这个漏洞至今还在。PS：时不时试一下的场景主要是和朋友炫耀，并没有损害别人的财产利益，也没有损害公共财产利益，不要想多了。
这个产品漏洞就是QQ申诉。在2010年的时候我突然选择性失忆地忘记了QQ密码，然后想要回密码当然是验证密保了，但是密保居然也不记得(事实上长时间不改密保的话很，很少人会记得自己捏造出来的问题和答案)，那只好申诉了。我到QQ申诉平台去简单填写了一下我的名字，和常在地区，其他的都没有填。
申诉结果是令人欢喜令人忧。令人欢喜的是申诉成功了，我可以重置密码了。令人忧的是，这么容易就通过审核，这个审核到底还有什么意义?作为一个菜鸟极客的我一样拥有敏锐的触觉(稍微自恋一下，哈哈)，我马上就意识到这是一个漏洞。
所谓发散性思维在这个时候就起了关键作用，我马上联想到QQ上经常出现的一个提醒“您的好友不在常在地区登录”，对，地区。腾讯审核系统就是用地区作为判断条件，细化一点来说就是IP地址，因为我常在那个培训班的局域网里上网，QQ经常在那里登录，所以QQ已经把那里的IP地址列入白名单列入QQ申诉审核条件之一。
通过QQ申诉获取修改QQ密保最低条件：
一、在常登录地区(IP地址)电脑申诉。
二、知道平时在QQ上使用的名字，和近期常在登录地区。(这里选的是城市)
好了。知道这些条件，有了理论，接下来就是测试。那时候我拿了一个同学的QQ测试。结果是成功了。截至今天(2013年6月6日)，这个方法依然有效，我早上还测试了一下。下面我把测试的步上来。有图有真相。
第一步：打开QQ申诉网页，填写申诉QQ号。
第二步：填写QQ真实姓名(如果是你的上司，就写你上司的名字)和接收结果的方式。
第三步：填写验证码和选择QQ常在登录地区(你身边的人你不会不知道他们常在哪里吧?)。
第四步：填写用过的密保资料，知道就填吧，我相信你不知道，所以不用填了。
第五步：邀请好友辅助申诉，没有，就不填了。
第六步：提示说资料少，难通过，下面的就说明了是不是难通过。
第七步：提交完毕有回执，这个保存不保存都一样，因为系统会发一份给你的。
第八步：看，邮箱收到的回执(注意：时间是中午11：40)。
第九步：申诉成功(注意：时间是中午11：41)，居然只要一分钟?真的是系统审核么?
简简单单三分钟，你就可以获取你上司的QQ密码;简简单单三分钟，你就可以获取你爱人的QQ密码。因为现在聊天记录漫游了，还可以看TA们的聊天记录，我的天呐，这还有隐私么?!!!虽然TA们一样可以申诉拿回帐号，但是TA申诉这些时间里我想干的早就干完了。
声明：发布此博文只是想警醒众多网民注意自身帐号安全，并非有意传播黑客思想。