2011年，Facebook推出了默認人臉識別功能實現自動識別圈人功能，2013年，Instagram推出名稱為“你的照片”的圈人功能。基本都是用戶利用這個功能在照片中圈出好友，並通過標簽直接找到該好友的所有照片。圈人可以讓照片成為找人的最佳途徑。

在2013年，QQ空間也推出了圈人功能，在他人對空間說說中，找到要圈人的照片，圈出照片中的好友，從中選擇自己相對應的好友就可以。這個其實是個不錯的功能，借助他人可以了解到更多信息。拿個簡單的圖表示下：

從2015年開始，網絡就有人說這個功能被人惡意拿來打廣告。並給出了具體的方法。

官方一直未修補（可能官方覺得這個是個正常功能，就是這樣設計的），這個地方問題就出在了被圈出人顯示的QQ昵稱。這些做灰色產業遊走在法律邊緣的人，大腦真的是很聰明，就把這個地方做為一個商機，來打廣告了。

2018年6月8日，QQ空間官方賬號發布“微視”小電影廣告，正文部分是正常的騰訊微視廣告，推薦了微視的“紅人計劃”。然而問題在於，這條動態下方被惡意圈出的人名單，附帶了大量名稱不可描述的鏈接。

其實官方賬號並未被盜用，只是被人惡意利用了圈人的功能了而已，把開始的圖給重現一下：

當天下午，官方做出了回應，表示該問題是因黑產利用了業務邏輯漏洞所致。同時官方對此表示了歉意，並稱該問題已經被修復。

說起來業務邏輯漏洞，其實是業務系統的一種設計缺陷，這種漏洞在真實的業務場景裏面，多數可能用掃描器是無法發現的（除非是個超智能的人工智能掃描器），否則只能人工測試，常見的有密碼找回、越權、順序執行等問題。通過更改數據包中的ID值，來獲取他人的敏感信息，如網銀中的類似問題，修改數據包中的銀行卡卡號，可以返回相對應銀行卡的註冊信息等內容。運營商的類似問題是修改數據包中的他人的手機號碼，可以返回他人的手機號註冊信息等內容，這些都是業務邏輯漏洞。

墨者學院靶場環境中，有2個跟業務邏輯漏洞相關的靶場環境，不妨來試試，深入了解一下漏洞的形成原理：

身份認證失效漏洞實戰：https://mozhe.cn/bug/detail/eUM3SktudHdrUVh6eFloU0VERzB4Zz09bW96aGUmozhe

登錄密碼重置漏洞分析溯源：https://mozhe.cn/bug/detail/K2sxTTVYaWNncUE1cTdyNXIyTklHdz09bW96aGUmozhe

（註：以上涉及到的日期時間，均通過公開搜索引擎獲得，可能與真實時間有出入。）

QQ空間官方賬號被黑產利用漏洞分析