我删除了一个qq好友，然后通过附近的人给他发消息，发过去后再屏蔽他的临时会话消息，那么之前我给他的_百度知道
我删除了一个qq好友，然后通过附近的人给他发消息，发过去后再屏蔽他的临时会话消息，那么之前我给他的
我删除了一个qq好友，然后通过附近的人给他发消息，发过去后再屏蔽他的临时会话消息，那么之前我给他的消息 他还能收到么
提问者采纳
但是你发过去后屏蔽了他，如果他发什么来了，你就看不到了
提问者评价
太给力了，你的回答完美的解决了我的问题！
其他类似问题
为您推荐：
qq好友的相关知识
其他22条回答
他可以收到你发的、只是他发你你就收不到了
从聊天记录里应该能看到
他能收到你的，他回复你的你收不到
貌似不可以
发生变化，要不你可以拿两个号码试下
应该是收到了。
你这就是闲的吧！
因为之前已经屏蔽了所以
能，绝对没有问题。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经主动忽略漏洞，细节向公众公开
简要描述：
腾讯QQ强制聊天是一个经久不衰的话题，今天小虫就提交一个关于强聊的bug吧，该bug可实现对任意QQ发起临时会话，细节不便透漏。。。
详细说明：
所谓强聊，就是不经过对方同意，直接发起QQ会话。
这个强聊的漏洞是由QQ空间引发的。
怀着严谨的态度，以下所有测试均是在测试QQ号码未开通QQ在线状态服务的前提下！开启了这个服务，就不用这么麻烦了，直接就能聊。
在QQ空间中，有一个谁看过我的功能，然后我们把鼠标移到他们的头像上，会弹出一个信息卡片，如图：
信息卡片上有一个聊天功能，也就是这个接口，出现了严重的bug。
点击聊天，抓包结果如下：
从图片中可以看出，聊天的接口为：
code 区域http://r.cnc./cgi-bin/user/cgi_tmp_talk?qzone_uin=&to_uin=&g_tk=
里边有两个重要参数qzone_uin发起QQ(以下简称sender)，to_uin接收QQ(以下简称receiver)，指定这两个参数后，请求接口，返回信息如下：
code 区域&script type=&text/javascript&&
var url = 'tencent://message/?Menu=yes&uin=&Service=112&SigT=ff5fd4b467f691cd9e42c0d413cec47eefb75d5e6ab400fffb0ea6cb8a&SigU=8a718a0cd8eba14b389fcebb8a7eae107b9c43dd56bc7cc21090bccf841c529232def3d50acaaafb46b5580fef571e7dd65900ae77fae70b9cc4a341bda7a3dfc11abe4';
location =
这里边又有三个非常重要的数据，经过大量实践，发现：uin是接收人的QQ，SigT是receiver的指纹，SigU是sender的指纹。
由此可见，有了这两个指纹，然后访问tencent://message/接口，就可以发起临时会话。
那怎么实现强聊呢？
小虫直接说结论，想强聊，必须知道自己一个好友的QQ号和被聊人一个好友的QQ号。这两个条件均不难实现，自己的QQ好友您还不知道么。。。而被聊人的QQ好友，也是很容易获取的，比如你想和你同班的美女聊，那么班主任的QQ就是切入点。
为什么需要这么奇怪的条件呢？小虫直接演示。
假设有四个角色，分别是A(发起人)，AF(发起人好友),B(接收人),BF(接收人好友)
第一步，我们需要在A和AF间建立一个通道，将A作为聊天的发起人，可以这样构造URL：
code 区域http://r.cnc./cgi-bin/user/cgi_tmp_talk?qzone_uin=A&to_uin=AF&g_tk=
在服务器返回的参数中，我们拿到SigU参数，这个也就是A作为sender的指纹。
第二步，我们在B和BF间建立一个通道，将B作为聊天接收人，可以这样构造URL：
code 区域http://r.cnc./cgi-bin/user/cgi_tmp_talk?qzone_uin=BF&to_uin=B&g_tk=
在服务器返回的参数中，我们拿到SigT参数，这个也就是 B作为receiver的指纹。
接下来我们把这两个指纹混合在一起，访问tencent://message/接口（别忘了加上最基本的uin参数，接收人QQ），恭喜，可以聊天了！
等等，好像有大问题，假如B和BF不是好友呢？我们并不能保证他们一定是好友，也就是说，我们是猜的。
这一猜，就出大问题了！！！
上图我就猜错了，他们不是好友。。。
聪明的你可能已经发觉了，这个接口可以测试两个QQ号码是不是好友(前提是被测者未开通QQ在线状态，如果一方开通了这个服务，可以尝试将sender、receiver反过来)！！！
这是多么邪恶的接口！
不法分子可以通过这个接口收费帮别人测试好友，进而导致情侣隐私泄漏，夫妻感情破裂，进而导致社会不和谐，进而导致生产力下降，进而导致科技停止发展，严重阻碍人类进化。
最后，补充一句，通过这个方法发起的临时会话，即使没有开启QQ在线状态服务也是可以的，除非你屏蔽了所有临时会话。
漏洞证明：
中间人，这个号码既是的好友，也是的好友。
就地取材，我用官方的接口证明不是好友。
构造sender指纹：
构造receiver指纹：
混合指纹信息，访问临时会话接口：
修复方案：
其实漏洞主要出现在这个接口上：
code 区域http://r.cnc./cgi-bin/user/cgi_tmp_talk?qzone_uin=&to_uin=&g_tk=
关键在于这个接口可以任意使用，输入什么QQ号都行，只要限制一下，让这个接口只允许当前登录的QQ发起即可，虽然说起来简单，但由于具体业务原因，可能很不好操作。
版权声明：转载请注明来源 @
厂商回应：
危害等级：无影响厂商忽略
忽略时间： 10:21
厂商回复：
非常感谢您的报告，经评估该问题并不存在，故此忽略。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
卖茶叶那种是不是这么搞的
@疯狗 狗哥 求过~
http://www.wooyun.org/bugs/wooyun-/trace/cee6b4d95f0c2d0c074d86
http://www.wooyun.org/bugs/wooyun-/trace/63fee1eac3f8a8df6caa9b355a31e549
@疯狗 买茶叶蛋？啥段子？
@疯狗 求审核，看着别扭，都半个月了
既然忽略，看来我可以做一个nodejs应用，来提供在线聊天、好友判断服务了。。。
不法分子可以通过这个接口收费帮别人测试好友，进而导致情侣隐私泄漏，夫妻感情破裂，进而导致社会不和谐，进而导致生产力下降，进而导致科技停止发展，严重阻碍人类进化。
@乡间小路 我擦
这洞给20rank都少了 影响太大
--。--似乎真的不能聊
@Mosuan PHP初学者？
@Anonymous.L 是的，有何指教？
厂商回复：
非常感谢您的报告，经评估该问题并不存在，故此忽略。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。
现在打开~http403错误
这奸商，问题不存在，怎么现在打开403错误
@Mosuan 那是准备做PHP开发？
我去？403？
我发现的时候肯定不是403的，否则这些图哪来的。。晕死
刚刚我看了一下，地址换了。变成了：
http://r./cgi-bin/user/cgi_tmp_talk?qzone_uin=&to_uin=&g_tk=
简单来个403，就把我给否了，太鲁莽。。。
各位高手，我把方法都告诉你们了，自己动手去试试呗！！别直接用我给的结果，亲自操作一遍
@wefgod 绝对可用，耐心点，自从抓包，然后操作一遍
@fhod 地址有变，重新抓包即可，我今天就写个程序出来
@Anonymous.L 不知道，走一步看一步
@Mosuan 学好js才是硬道理
@小虫 原来如此。看来TSRC又悲剧了
@小虫 暂时对js没兴趣
@小虫 可以用 =
=程序写好了吗
@小虫 程序写好了，一级查询的，如何能二级查询？
终于写好了
明天我也去卖茶叶啊....
登录后才能发表评论，请先别的给我发的QQ临时对话框，后来我给对方-中国学网-中国IT综合门户网站
> 信息中心 >
别的给我发的QQ临时对话框，后来我给对方
来源：互联网 发表时间： 22:38:10 责任编辑：鲁晓倩字体：
为了帮助网友解决“别的给我发的QQ临时对话框，后来我给对方”相关的问题，中国学网通过互联网对“别的给我发的QQ临时对话框，后来我给对方”相关的解决方案进行了整理,用户详细问题包括:他还能收到吗， 怎样知道他有没有收到呢？ 怎样知道他设了防骚扰设置呢，如果他设防骚扰设置的话？ 给他发过去了？就是昨天发的，我收到了，后来我给回的，怎么知道他能收到呢？ 他先给我发的，具体解决方案如下：解决方案1：
一般设置了防骚扰的都会有提示的，这样比较好的，要不你在QQ的最近联系人里找找看看能不能找到信息，要是还有保存的话最好加一下QQ一般临时对话框比较难找
提问者评价
没别的答案了
1个回答1个回答5个回答2个回答4个回答2个回答4个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答1个回答
相关文章：
最新添加资讯
24小时热门资讯
Copyright © 2004- All Rights Reserved. 中国学网 版权所有
京ICP备号-1 京公网安备02号}