今天无意中在Google搜索自己的邮箱地址，发现一个属于QQ的url（点击这里），点进去一看，是QQ手机邮箱，更为神奇的是，还处于登陆状态。特别留意看了下地址，有两个重要的参数，一个是sid=645174009，我估计这是一个QQ号码，后面跟的4f5f9884532e678dMTIzMjg1NDMxMQ也许是经过二次加密后的密码字串。

用Google搜索我的邮箱找到的页面

进入到具体的漏洞页面首页

这勾起了我的兴趣，进一步探测。进入的第一个页面是“联系人”，显示的与QQ号码为645174009有过邮件往来的人的Email地址，单击可以看到具体的资料，还可以给他发送邮件。

点击上面的“首页”，进入到一个简易版的QQ邮箱界面，显示了等级、积分、未读邮件及待办事项等信息。下面还有：写邮件、写群邮件、联系人、收件箱、群邮件、全部文件夹、中转站、贺卡、设置等链接。最下面则是腾讯网的版权标识。

撰写邮件页面

需要再次强调的是，这是一个处于登陆状态的邮箱，可以以“645174009”的名义给任何人发送邮件，利用社会工程学的基本原理，甚至能冒充645174009给他的好友发送欺诈性的电子邮件。为了进一步证实上述想法。我试着点击“写邮件”，进入到撰写状态，收件人、主题和正文都是能随意写入内容的，还能添加附件。点击发送，几秒钟后，我的另外一个邮箱收到测试邮件了。

我的邮箱收到测试邮件了

不知道这是QQ邮箱存在的普遍性问题还是个别漏洞，我想的是，QQ真的需要多注重产品的安全性，如果用户因为QQ的漏洞而被人欺骗，恐怕QQ难辞其咎。

我想说下为什么搜索我的邮箱地址会找到这个漏洞页面。因为几个星期前，我的一位朋友就知道这个漏洞，并试着往我的邮箱发了一封信。当时他没告诉我此漏洞具体情况，想不到今天却被我无意中搜索到了，间隔也有这么久了，为什么腾讯还没发现这个漏洞？2008年12月26日12:15:49更新：QQ手机邮箱的负责人和我进行了沟通，我已经明白了大概。由于很多老式手机不支持Cookies，所以如果用Cookies作手机登陆是有问题的。用时间来作为过期的判断，QQ又设置得过长。在时间失效前，有人把“漏洞”URL发到了网上，被Google的蜘蛛爬到，这就是我找到那个地址的原因。综上所述，QQ手机邮箱还是比较安全的，容易被利用的地方，他们已经作了修改，另外，如果使用者自己不把曾经登陆过的URL（里面包含QQ号码及加密验证字串）发出来，就不可能有人知道并利用的。