当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02388

漏洞标题:QQ秀全裸奔

相关厂商:腾讯

漏洞作者: 晴天小铸

提交时间:2011-07-05 17:20

修复时间:2011-07-05 19:00

公开时间:2011-07-05 19:00

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:3

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-07-05: 细节已通知厂商并且等待厂商处理中
2011-07-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

裸奔更开放!

详细说明:

首先这次的真人秀是 一次性全屏高清真人秀 {一次性就是说你穿了不能脱 脱了就穿不上了}此次制作非红钻也可以喔 !

漏洞证明:

1.
每天晚上12点 前3000名提交作品可以获取资格http://show.qq.com/live/motomt620/moto_works.html
2、确定你有资格后。去QQ商城上传真脸秀 show.qq.com图片尺寸为 140*225 卡上传再说明一下 卡图大家应该都会 就是点上传 然后 猛点那个小企鹅 在新弹出的对话框中再选择一次你的图片两次要一直额 然后会自动上传下面我们去记录ID了右键这个垃圾桶 928257514.74383 前面是Q号 后面是ID我们把下面的代码中QQ和ID替换一下不要搞错了喔,机会难得然后我们打开这个网页
3.上传好后,记下真脸头像的ID,替换下面的代码 javascript:SetShow('0',0, 'V1#F_1_0_0_100_0_0.00_0.00#928257514.74383.7_451_0_0_0_0_0_0_102_851_-127.00_-3.00_0_0_256_256_100_0_#');
4.打开网页 http://show.qq.com/live/motomt620/moto_works.html 将代码 复制到 地址栏 回车 完成
网上有脑残卖 100元 郁闷 ( ⊙ o ⊙ )

修复方案:

JS的SetShow函数 加强验证

版权声明:转载请注明来源 晴天小铸@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-07-05 19:00

厂商回复:

最新状态:

暂无