WooYun.org

详细的步骤如下：
1、结合 WooYun: 去哪儿一处存储型XSS漏洞 这个漏洞（应该审核通过了吧）
2、QQ账号可以登录qunar网站，通过QQ互联开放平台QQ登陆服务
3、Oauth2.0授权模式中的Implicit grant模式只需要client_id和redirect_uri就可以完成账号的授权流程，从而把获取到的access_token返回到redirect_uri地址中
4、构造如下的URL：
http://openapi.qzone.qq.com/oauth/show?which=AuthorizePage&which=ConfirmPage&response_type=token&client_id=100244931&redirect_uri=http%3A%2F%2Flvtu.qunar.com%2Fmobile_ugc%2Fweb%2Falbum.htm%3FalbumId%3D4228&scope=get_user_info,add_topic,add_one_blog,add_album,upload_pic,upload_pic,add_share,add_t,add_pic_t,del_t,get_repost_list,get_info,get_other_info,get_fanslist,get_idollist,add_idol,del_idol,get_tenpay_addr&src=1

client_id为qunar网的QQ互联开放平台应用ID
redirect_uri为接收access_token的回调地址（这个接口中回调地址既信任qunar.com任意二级域名也信任qq.com的任意二级域名，搞不懂为什么要信任qq.com域。所以在qunar.com和qq.com任意域下存在存储型xss漏洞就可以劫持用户的access_token，比如上面url中的http://lvtu.qunar.com/mobile_ugc/web/album.htm?albumId=4228存在xss漏洞）
response_type=token是采用Implicit grant授权模式
scope为申请的权限
5、可以把该地址发给他人诱使别人连接，最方便的利用是结合点击劫持来让用户完成授权流程。从而劫持到用户的access_token，如果结合qq.com域下的xss直接操作表单就可以劫持access_token（不只是说的）。
6、获取到的token可以利用api接口来操作该账号，QQ互联开放平台的api接口可以操作该账号的空间和微博等。