分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向第三方安全合作伙伴开放（、）
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
任意密码绕过腾讯扣扣的锁定~，很多同事或者朋友都喜欢用QQ锁挂机的， 经过测试，绕过后可以查看聊天记录，QQ空间查看，邮箱查看，还有相册~你懂得。。。
详细说明：
....本来这个漏洞我发过一次，不知道是不是乌云大牛看不懂~都好几天了，一直没审核。。
希望乌云帮忙删除一直没审核那个洞洞~ 在发下流程清晰的。。。。
1、登录一个QQ、并且锁定QQ
2、结束进程 TXPlatform.exe
3、打开一个QQ登录窗口、帐号用被锁定的QQ、密码随便输入
4、点击登录、弹出QQ主面板（已经绕过QQ锁定密码限制了）
5、绕过限制后、可以查看QQ邮箱、相册、聊天记录~
图片有点模糊，由于QQ被锁定 用搜狗游览器截图的~ 所以是BMP
网站不支持BMP上传，我就转换了下格式 结果变模糊了。。。。不过还是可以看到内容和文字注释
漏洞证明：
修复方案：
腾讯的程序猿懂得~~~
版权声明：转载请注明来源 @
厂商回应：
危害等级：低
漏洞Rank：5
确认时间： 16:13
厂商回复：
非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
&如何使用QQ锁&?
@Tea 你在.............逗我~
@苦咖啡 注意双引号..
@Tea ......好吧~
我记得这个2年前就被绕过过吧
@xsser 上次是反馈功能，给了1分
@小胖胖要减肥 ....怎么会~
两年前~ 腾讯不修复？
我擦。。我以前提交了好几次都被忽略了啊·11~~！~！~
@乌云? 我提交了两次~
2011年提交的
@苦咖啡 而且是乌云审核都不通过。。。。
@乌云? .....人品爆发了===
@乌云? 提交方法 不同的平台有不同的喜好 我发现
我觉得这个应该是，锁上之后还是能使用快速登录功能出现的问题吧。
@笨猫猫 不是~
哈哈，这样啊，保护进程被结束了
登录后才能发表评论，请先登录QQ时输完帐号，不用鼠标按哪个键切换到输密码？_百度知道
登录QQ时输完帐号，不用鼠标按哪个键切换到输密码？
提问者采纳
其他类似问题
为您推荐：
登录qq的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁退出qq帐号后如何删除登陆密码_百度知道
退出qq帐号后如何删除登陆密码
退出qq帐号后如何删除登陆密码
hiphotos，先把记住密码的勾选取消，右边就有一个 X 你点击它.com/zhidao/wh%3D600%2C800/sign=bb4b226efcf2b211e47b8d48faba7b0a213f4f5d3572c11dfcf65。
采纳率100%
其他类似问题
为您推荐：
其他3条回答
其标志是一只戴着红色围巾的小企鹅，因为所有的密码都默认保存在了这个文件夹里面。　　目前QQ已经覆盖Microsoft Windows.hiphotos、Windows Phone等多种主流平台.baidu、点对点断点续传文件.hiphotos。2015年。首先检查一下自己的qq密码是否处于被记住状态、视频通话，如果没有处于被记住的状态怎系统是不会保存自己的登录密码的://c://c、iOS.jpg" target="_blank" title="点击查看大图" class="ikqb_img_alink"><img class="ikqb_img" src="http、QQ邮箱等多种功能；如果处于被记住的状态、共享文件。　　腾讯QQ（简称“QQ”）是腾讯公司开发的一款基于Internet的即时通信（IM）软件，所以不需要担心，qq密码是保存在user文件夹里面的.jpg" esrc="http，QQ继续为用户创造良好的通讯体验.hiphotos，但是是经过高度加密算法加密的，被破译的概率几乎为零.com/zhidao/wh%3D600%2C800/sign=19de8e3f9413b07ebdebd1b/02d910ff6b0216dfa9ec8a13cd9f、Android。腾讯QQ支持在线聊天。<a href="http、网络硬盘.baidu、自定义面板://c，并可与多种通讯终端相连、/zhidao/pic/item//zhidao/wh%3D450%2C600/sign=2397ddd62c9/02d910ff6b0216dfa9ec8a13cd9f　　删除计算机本地名为user的文件夹即可
点长条，再在下面选要删掉的密码，看最右边有个叉叉，一点就好了。
右边有下拉箭头可以删除
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁【QQ登录】FAQ
海量新用户：用户使用已有的QQ号码即可登录网站，QQ一键登录更可减少登录交互操作，大大降低网站注册门槛，给网站带来海量新用户。
活跃的访问量：已登录用户可以将在网站上发布、分享的信息即时同步到QQ空间，使网站内容通过QQ好友关系链得到进一步的传播，从而提升网站的访问量。
丰富的开放API：网站可以通过用户资料接口获取用户的空间昵称和头像，来丰富用户注册资料。此外，还可以通过说说，相册，日志等开放接口使用户直接在网站上访问或修改他们在QQ空间上的数据，与QQ空间实现更以进一步的互联互通。
“QQ登录”和第三方网站共享QQ庞大的用户价值，同时为QQ用户提供更便捷服务和更优质内容，实现双向共赢，目前不收取任何费用。
QQ登录使用国际通用的的OAuth2.0协议进行验证与授权，第三方网站访问腾讯的用户信息时，使用的是腾讯公司为网站分配的access token，因此第三方网站与其它网站的登录接入并不受影响。
相同点：均使用QQ帐号与密码登录。
--QQ登录的主要优势是能将用户在第三方网站的动态通过好友互动的方式进行扩散，从而增加第三方网站的曝光率，对第三方网站的主要优势在网友社交方面。
--腾讯微博登录的主要优势是在信息转发方面。
在“”页面注册为开发者，添加网站/应用。
添加成功后，在管理中心的应用列表中即可看到该应用，以及对应的appkey和appid等信息。
需要通过审核。创建应用后便可以立即获取QQ登录相关的appkey和appid，48小时后方可提交正式上线申请。审核过程大约3个工作日，未审核通过的appid只能设置10个协作者号码进行测试登录，审核通过的可以全量使用。
为了保障QQ用户登录第三方的安全性，避免违法站点/应用频繁调用QQ用户信息，并大量发送信息以致骚扰到其他好友群体，QQ互联平台对开发中、未提交审核、审核未通过的第三方应用采取"仅协作者帐号能登录"的限制。请未提交上线申请的应用/网站尽快到QQ互联官网进行资料完善补充，提交上线。如果您的站点/应用尚未全量对外开放，处在开发中状态的，也请尽快到QQ互联平台，在"编辑信息"中进行协作者帐号设置，对此造成的不便，请您谅解。
详细信息请查看。
根据开发攻略进行QQ登录相关的开发工作：
您的网站接入QQ登录之后，QQ登录团队会定期进行巡查，如果：
2. 或者违反，
我们会关停网站的QQ登录功能并告知网站。网站如需申诉可发送邮件至。
在“”页面正确填写网站资料并提交申请后，便可以立即获取QQ登录相关的appkey和appid，无需等待审核。
验证失败可能由于以下原因导致：
1、验证代码未添加成功，请查看验证代码是否已成功添加到网站的HEAD标签中。
2、添加的验证代码与当前登录QQ号不匹配，不同QQ号进行验证时生成的验证码不同，请确认当前进行验证的QQ号生成的验证码与添加到网页源代码里的相同。
3、不允许使用跳转域名。
4、对于服务器或代理访问是否做了特殊处理，如：跳转到移动端页面。
如已正确添加验证码仍无法通过系统验证，请联系企业QQ：进行咨询。
可到的控制台进行转移。
如原管理QQ号或密码已遗忘或丢失，请提供appid、密钥（appkey）、需要转移到的新QQ号、营业执照、网站备案复印件发到申请转移。
网站可以通过用户资料接口获取用户的空间昵称和头像，来丰富用户注册资料。
已登录用户可以将在网站上发布、分享的信息即时同步到QQ空间。
此外，还可以通过说说，相册，日志等开放接口使用户直接在网站上访问或修改他们在QQ空间上的数据，与QQ空间实现更以进一步的互联互通。
不能。用户登录成功后跳转回网站时，URL中传递的是openid而非QQ帐号，openid是经过转换的字符串。
此外，QQ帐号涉及用户隐私，接入QQ登录的网站应该遵守不允许以任何理由获取或用户QQ帐号相关的信息。
QQ登录团队已提供全面支持Discuz!，PHPWind等平台的集成插件，即将支持CMS，shopEX等平台。请选择适合您网站的插件包下载安装。
1. 移动应用接入，请参看。
2. 网站接入，请参看。
网站可通过用户的授权向QQ空间推送用户的动态更新，以及其它优质内容或定向广告，腾讯方面不主动拉取第三方网站的任何数据内容。
为了保证用户QQ号码的安全，其登录信息放在腾讯服务器上。
需要实现两种接口：
1. OAuth登录相关接口，用来获取用户的access token和openid，详见。
2. OpenAPI，用来访问和修改Qzone受保护的资源，详见。
出于信息安全的考虑，部分OpenAPI仅对可信赖的合作网站开放。需要申请的接口，我们在中进行了标注。
申请方式，处理时间及审核标准详见：。
access token有效期为90天，每次调用api成功，自动续期90天。
如果用户删除了对网站的授权，则下次用户再次使用QQ登录时，需要重新进行授权操作。
在代码实现中，即表示access_token失效，需要重新。
网站获取到的access_token有效期为3个月，和某一个openid对应。
此外，用户也有权限在Qzone这边删除对第三方的授权，此时该access_token会失效，需要重新走整个流程让用户授权。
“QQ登录”按钮响应事件代码中，必须重新打开窗口。详见的代码示例。
详见：，根据步骤来检查哪一步生成错误。
此外，上述文档中也给出了测试签名生成是否正确的推荐测试地址。
我们返回的昵称格式是U8的，网站拿到之后可以按照需要自己转码。
理论上不会。请将你的服务器时间设置为北京时间，与腾讯服务器时间戳相差不要超过5分钟。
子域名不能共享session的问题导致。解决方案详见：。
调用微博相关的OpenAPI时，有的接口会返回地区代码信息。
关于地区代码对应的国家、省份及城市名称，请参见。
调用微博相关的OpenAPI时，有的接口会返回教育信息。
关于学校ID对应的详细学校信息，以及院系ID对应的详细院系名称，请参见。
如果richtype为1，那么传入的richval参数值需要进行url编码(urlencode)。
可能是所使用的API没有激活，可以到的控制台查看已激活API列表中是否有该API。
也可能是用户使用qq登录时跳过了授权步骤。
请检查是否配置了curl，检查服务器443端口有没有开放。
Web应用qq登录成功回调地址后会返有code参数，通过code参数值可以获得access_token，此code只能使用一次，有效期为10分钟，重复使用会报100019错误。
详细内容参考
请检查检查oauth_consumer_key的值是否等于appid。
由于安全策略的原因，SDK将通过get_simple_userinfo接口获取用户信息，信息中将不再返回“性别”字段。
移动端应用登录授权的URL和网站类应用的API有所区别，移动端专有API的URL为：
获取Access_Token：/oauth2.0/m_authorize
获取OpenID：/oauth2.0/m_me
： /user/get_simple_userinfo
建议第三方使用官网提供的移动端SDK避免调试出错
用户可在QQ空间中的个人设置选项“授权管理”中管理与第三方网站的连接。
建议第三方在自己的网站中设置同样的授权管理功能。
目前只能建议用户开通QQ空间。后续腾讯会优化这里的体验，非开通用户也能够正常使用QQ登录来登录网站。
这个与网站自身逻辑有关。一般来说用户第一次使用QQ帐号登录网站时，网站需要用户输入用户名和密码来实现QQ帐号和网站自身帐号的绑定。
我们提供了企业QQ（），以受理QQ登录的产品审核，技术实现，以及Discuz论坛开通等问题的咨询。