1、qq Cookie管理不够严格。
2、qq Ptlogin未采取任何传输加密措施，只是本地加密后HTTP POST至服务器。

危害：
1、仅仅一个qq.com的XSS就能实现盗Q币，获取隐私信息。(查看有密码的相册，艳照... ??? ^_^)
2、同子网内就更好办了，直接Sniffer到cookie，就能访问任意QQ的qq空间，

以及qq相册实现无密码访问。

例：
在网吧内进行arp Sniffer，由于QQ的cookie中包含qq号码等信息，可以通过arp指定IP。
获得漂亮MM的QQ号码，qq空间、相册的访问权还是很容易滴。
PS: 你们公司要有美女同事，也可以采取这种方式。

IE6、IE7 直接URL_XSS，或者其它持久性XSS， IE8，Flash XSS。   ^_^，YY~~
据说腾讯的漏洞还真不少的哦。 不要做坏事，和盗Q币那种低劣行为啊～～