看到一篇人肉闲鱼骗子的文章，聊聊可行性。

你对安全一无所知

@xiaomache 能说点有用的吗？

1.违法
2.网站写的可能没有想太多，毕竟骗一个人就转场
3.一般懒得算，直接用现成的
4.确实能
5.以上个人见解

@wycmxg 骗子痕迹太重，用一个用户名

看了，厉害啊，哈哈，骗子身份证什么的竟然查到了。

现在稍微像样一点的钓鱼站都会防 xss 吧

确实违法，不过你只找一个人的，既没有进行直接人身威胁，那个人也不对泄漏报案，警察估计是不太愿意管

XSS 本身有理论可行性，就看防不防了。XSS 一直在说一直在各种修一直还是存在，说到底还是因为它需要的不是 “知晓” 而是 “时刻警惕”

人类不适合进行算数计算

sodayo，只是能直接看的珊瑚虫版没了罢了

看完了，还好吧，并没有什么太高深的技术。
js 拿 cookie 不很正常吗？问题是现在能让你把 js 插进去的页面不多了，就算能插也拿不到重要的 cookie 值，比如 session，大多是 httponly 的。
身份证那段，也算正常吧，18 位缩小到 1000 个已经不错了，不会算因为不是程序员或者计科出身吧。

一是用常用 ID 涉及诈骗这种智息操作无话可说，二来身份证查询 API 的存在，实名大国的身份证滥用也是重要原因。QQ 查 IP 我是真的理解不能，难道还有 p2p 功能不成。

值得吸取的教训就是（除大 V 那种公众账号外）无论干什么都永远使用互不关联的随机 ID （但不至于像 LZ 这样的乱码），尤其是干一些不太“光明磊落”的事的时候。常用 ID 永远是人肉的重要线索。
还有出生日期是非常重要的隐私信息，任何地方都尽量不要真实填写，因为代表身份证前几位的地区信息很容易暴露（过往言论，IP 等），加上出生日期已足以锁定个人身份。
网站漏洞反而是小问题了，记得打开 CSP

哈哈，我也换 id 了。但是很多时候即便你打字都难以改变自己的习惯，于是两个 id 的言论相似性，人家又会说是同一个人吗？

@Buges QQ 查 IP 这种事情 9102 年(0202)年了
的确还能弄
老方法就是 QQ 文件 /电话 /远程桌面
好玩些的就是 XML 消息里面插网页
QQ 会默认打开链接生成一个缩略这些
都是在对方的 IP 网络下完成的

我也搞进过钓鱼网站，还挺简单的，一般他们都没啥防护，弱口令一大把。

这个故事我觉得假的地方在 QQ 那部分，这个没那么简单。而且这个人我关注比较久了，喜欢添加一些艺术加工，大家看个热闹就好。

河边路人：麻蛋，碰到个猪队友，躺枪！

社工库了解一下 拖库的人身份证号 地址 QQ 微信 账号密码 都有的

这人说的事都是一半真一半假，当故事看就好

几年前 qq 有漏洞可以直接用 qq 号查出绑定手机号，不知道现在还有没有。

qq 拿 ip 这事我第一次知道是看旭旭宝宝直播。。

这个哥们还行呢。这一套很严谨。

0202 还有钓鱼站不防 xss，估计网站是买的。

已被发布者删除。。。

知乎上关注过这个人，

我记得直接抓包没办法通过在线传文件拿到 ip 来着，不过也有可能是没触发 /没成功建立 p2p 连接

这本该是网警应该做的事情 还得自己人肉把骗子身份证和住址都搞到了才去报警

这个就有点牛 b 了...

我到现在人肉一个人..

就是去年, 打 LOL 被有个脑残喷了.. 最主要遇到好几局! 仅仅是因为大乱斗我补了两个兵(寒冰)

我一气之下! 从 tx 官方的游戏记录里!某段 js 里!查找这人 qq! 用 QQ 查到这人微信!然后微信头像是本人!朋友圈有很多个人信息.

https://www.g9zz.com/post/E3OAz9dLMg

这是当时记录的!

后来想想算了..

QQ 的语音好像是不能漫游的吧

以前网购不发达的时候，买虚拟物品被人骗了，打了款不发货。模糊的记的，社工一翻搞到了对方邮箱，人肉尝试几个对方有关的密码后就进入了邮箱，浏览邮件发现原来是青岛某高校一学生，直接肉到他的班级，他的电话，甚至他的导师的电话。然后以向老师告发他的理由威胁他给我退了款。这事差不多有十年了，反正感觉当时自己挺骚的。

@IDCFAN 具体细节都不记的了，当时社工，人肉这些词大略还没发明出来，只记的这事再往前三两年，我在易趣网购还是通过邮局汇款的。