WooYun.org

为了测试这个漏洞，使用了3个账号。
账号1：马甲，打酱油的。使用目的：向本号提交一个好友申请。
账号2：模拟女神号，PC端，移动端发状态，测试。
本号：接收女神号的信息，此时女神号与本号非好友。
登录本号，发现账号1的好友申请（废话）

点击接受好友申请，拦包，发现一个friendId

把friendId的值换为女神号的id。
此时出现添加朋友窗口，（张锐，即是“女神”昵称）。

点击确定，继续拦包

箭头所指处改为“女神”id号，经测试name值为分组名，暂时放在“以前同事”一栏，不修改。
然后发包，返回人人首页，在左边栏选中“以前同事”就能看到“张锐”这个号从此发的所有的状态。如图

此时查看“张锐”的人人主页，仍不是好友状态。

这样，就能神不知鬼不觉的知道女神的一举一动了。人人网的原则是，登陆陌生人的账号，如果设置隐私，只能看到他最新的一次状态更新。而这个方法避开了这个原则。从此之后，该“女神”发的人人状态都能被捕捉到，妈妈再也不担心我追不到女神了。。。
注：该方法可以看到PC端公开权限的人人状态，还有从手机端发的所有人人状态。据调查，很少有人在PC端发状态的时候标注权限为“好友可见”，建议在手机端也加入权限选择功能。