看我如何用**.qq.com两位短域名钓鱼收集用户敏感信息(如QQ\密码\密保手机号\身份证)

简要描述：

看我如何用**.qq.com（两位短域名钓鱼）收集用户敏感信息，如QQ号、密码、密保手机号、身份证等敏感信息然后去逗守爷

详细说明：

http://wj.qq.com/没有对关键字做屏蔽，或者页面没有提示用户不要输入QQ帐号密码敏感信息

详情请访问

code 区域

http://wj.qq.com/survey.html?id=269221&hash=238b

网址已消毒

漏洞证明：

code 区域

然后当有人访问http://wj.qq.com/survey.html?id=269221&hash=238b输入信息提交的时候，http://wj.qq.com/stat_overview.html?id=269221后台看到会是这样的

code 区域

P.S拿去逗了一下守爷，他并没有上当

修复方案：

code 区域

我记得微信客户端对非qq.com的域名输入框都会提示不要输入QQ号码密码的，所以建议http://wj.qq.com/survey.html?id=269200&hash=c9b8页面提示一下用户不要输入敏感信息，或者生成问卷的时候，不允许某些关键字 如 QQ号码，QQ密码，等

code 区域

或者这是微信客户端的漏洞？应该微信上也加上在wj.qq.com输入信息的时候提示用户“这个不是腾讯官方网站，不要输入QQ密码？/笑