异地过QQ二代密保三个问题验证

漏洞描述：

异地登录QQ 三个密保问题可以独立验证 而获得密保答案 修改密码

详细说明：

大家都知道异地登录QQ后 有二代密保的 如果直接修改密码 会提示输入三个验证问题才可以修改 因为这是大家不在相同的ip段上面登录的限制 那么如果我们社工到了资料 知道了一个问题的答案 但是其它两个问题没法获得 那我们就没法知道我们知道的答案是否正确 也就是无法单独验证答案的对错

那么 我们打开QQ面板的消息管理器 找到以前的 或者QQ里面的陌生人 （没有联系人 可以加自己的QQ）然后点击查看聊天记录

好了 会提示大家验证密保问题 但是问题只有一个 而且经过测试 是可以反复输入 而不会有输入限制 那么大家就可以测试自己社来的资料了 而且重新点击上传消息记录后 会自动更换问题 单个测试 相对于安全中心的三个问题来说 简单多了吧

漏洞证明：

这里以一个QQ为例：

安全中心改密码 需要三个问题：

而在消息管理器中 只需要一个问题 就可以测试了：

修复方案：

引用安全中心的问题验证 或者 设置输入次数等 都可以解决这个问题

此文其实在11年的时候即出现，但现在依然可用，所以重提一下！