腾讯账号申诉流程存在风险 | wooyun-2012-012576| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-012576

漏洞标题：腾讯账号申诉流程存在风险

漏洞作者： snower

提交时间：2012-09-23 00:19

修复时间：2012-09-24 17:10

公开时间：2012-09-24 17:10

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：2

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-09-23：细节已通知厂商并且等待厂商处理中
2012-09-24：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

众所周知，很多腾讯软件都有账号申诉功能，但是如果是对自己有一点了解的人，比如能知道我姓名和我家庭一些信息的人，可以利用账号申诉不适用验证密保而更改自己的账号

详细说明：

我用一个好碰的QQ号，做演示，我对他的家庭信息比较了解。
首先，用钓鱼什么的他的现有密码弄到
第一步

第二步

然后就是填写常用登陆地址等等我和他一个城市的当然很清楚
最后，因为答对的信息率较高，申诉成功，密码被我成功篡改

演示完毕，把密码改回去吧

漏洞证明：

修复方案：

不知道。。

版权声明：转载请注明来源 snower@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-09-24 17:10

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-012576

漏洞标题：腾讯账号申诉流程存在风险

相关厂商：腾讯

漏洞作者： snower

提交时间：2012-09-23 00:19

修复时间：2012-09-24 17:10

公开时间：2012-09-24 17:10

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：2

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 snower@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-012576

漏洞标题：腾讯账号申诉流程存在风险

相关厂商：腾讯

漏洞作者： snower

提交时间：2012-09-23 00:19

修复时间：2012-09-24 17:10

公开时间：2012-09-24 17:10

漏洞类型：账户体系控制不严

危害等级：低

自评Rank：2

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-012576"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 snower@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：