漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-017248
漏洞标题:QQ各业务动态密码绕过
相关厂商:腾讯
漏洞作者: 饮恨
提交时间:2013-01-12 20:39
修复时间:2013-01-16 16:54
公开时间:2013-01-16 16:54
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-12: 细节已通知厂商并且等待厂商处理中
2013-01-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。
详细说明:
QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。
因为window 8的出现,我就去尝试下了window 8. 发现win8存在着一个新的功能--应用商店。我们可以从应用商店里安装QQ.然后,我便惊奇的发现.使用应用商店里安装的QQ是不需要验证动态密码的,我想这个设计是由于考虑到win8在平板上的应用。估计是归类为手机QQ一类的应用。所以便不加动态密码的验证。但是 Win8也是用在笔记本上的- -! 然后我们就可以直接登录跳过动态密码验证。但是如果直接在win8里的IE打开mail是没法直接绕过的。这时候,我们只需要在QQ页面上右击
提交反馈。得到这个登录状态,这时候跳出应用商店里的IE 然后直接新建个页面,输入mail.qq.com便可绕过动态密码的验证。同样的QQ空间和QQ各个web登录的需要输入动态密码的业务都是如此.
Last.这个属于设计缺陷,和手机邮箱进入web邮箱的类型我觉得差不多的.至于这个缺陷是不是产品特性就见仁见智了. :)
各位大大您说是吗?
漏洞证明:
QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。
因为window 8的出现,我就去尝试下了window 8. 发现win8存在着一个新的功能--应用商店。我们可以从应用商店里安装QQ.然后,我便惊奇的发现.使用应用商店里安装的QQ是不需要验证动态密码的,我想这个设计是由于考虑到win8在平板上的应用。估计是归类为手机QQ一类的应用。所以便不加动态密码的验证。但是 Win8也是用在笔记本上的- -! 然后我们就可以直接登录跳过动态密码验证。但是如果直接在win8里的IE打开mail是没法直接绕过的。这时候,我们只需要在QQ页面上右击
提交反馈。得到这个登录状态,这时候跳出应用商店里的IE 然后直接新建个页面,输入mail.qq.com便可绕过动态密码的验证。同样的QQ空间和QQ各个web登录的需要输入动态密码的业务都是如此.
Last.这个属于设计缺陷,和手机邮箱进入web邮箱的类型我觉得差不多的.至于这个缺陷是不是产品特性就见仁见智了. :)
各位大大您说是吗?
修复方案:
您们比较懂~~
版权声明:转载请注明来源 饮恨@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-01-16 16:54
厂商回复:
漏洞Rank:8 (WooYun评价)
最新状态:
2013-01-16:
2013-01-16:此漏洞我们处理的时候是确认,给5分,但不知道为何被忽略。原因还在跟wooyun官方调查。对于这个漏洞,非常感谢报告者,业务部门已在测试临时的方案,16、17号实施。会禁止设置密保的用户登录win8版QQ,待密保登录功能完善后再开放。