漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025270
漏洞标题:[腾讯QQ漏洞]简单三分钟教你如何获取上司的QQ密码
相关厂商:腾讯
漏洞作者: 路人甲
提交时间:2013-06-06 15:08
修复时间:2013-06-06 16:46
公开时间:2013-06-06 16:46
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-06: 细节已通知厂商并且等待厂商处理中
2013-06-06: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
QQ作为国内互联网即时通讯的老大,其用户量甚至超越手机用户,有了QQ认识新的朋友时更多的不是交换手机号码,而是加一下我的QQ。作为一个如此重要的通讯工具,其安全性也是大家关注的焦点。尽管说黑客无处不在,但是只要你上网安份一点,一般也没有什么安全问题。不过,如果是QQ本身产品有漏洞,那这个安全隐患就实在是令人担忧了。
今天就让我来说说腾讯QQ的一个安全漏洞。这个漏洞早在2010年我就发现,那时候只是一时兴起,通过这个漏洞窃取了同个培训班同学的QQ,当然了,只是玩的心态,没有触犯别人的任何利益。
这几年来我也一直有关注这个问题,时不时试一下。今天试了一下,令人惊讶的是这个漏洞至今还在。PS:时不时试一下的场景主要是和朋友炫耀,并没有损害别人的财产利益,也没有损害公共财产利益,不要想多了。
这个产品漏洞就是QQ申诉。在2010年的时候我突然选择性失忆地忘记了QQ密码,然后想要回密码当然是验证密保了,但是密保居然也不记得(事实上长时间不改密保的话很,很少人会记得自己捏造出来的问题和答案),那只好申诉了。我到QQ申诉平台去简单填写了一下我的名字,和常在地区,其他的都没有填。
申诉结果是令人欢喜令人忧。令人欢喜的是申诉成功了,我可以重置密码了。令人忧的是,这么容易就通过审核,这个审核到底还有什么意义?作为一个菜鸟极客的我一样拥有敏锐的触觉(稍微自恋一下,哈哈),我马上就意识到这是一个漏洞。
所谓发散性思维在这个时候就起了关键作用,我马上联想到QQ上经常出现的一个提醒“您的好友不在常在地区登录”,对,地区。腾讯审核系统就是用地区作为判断条件,细化一点来说就是IP地址,因为我常在那个培训班的局域网里上网,QQ经常在那里登录,所以QQ已经把那里的IP地址列入白名单列入QQ申诉审核条件之一。
通过QQ申诉获取修改QQ密保最低条件:
一、在常登录地区(IP地址)电脑申诉。
二、知道平时在QQ上使用的名字,和近期常在登录地区。(这里选的是城市)
好了。知道这些条件,有了理论,接下来就是测试。那时候我拿了一个同学的QQ测试。结果是成功了。截至今天(2013年6月6日),这个方法依然有效,我早上还测试了一下。下面我把测试的步骤截图发上来。有图有真相。
详细说明:
第一步:打开QQ申诉网页,填写申诉QQ号。
第二步:填写QQ真实姓名(如果是你的上司,就写你上司的名字)和接收结果的方式。
第三步:填写验证码和选择QQ常在登录地区(你身边的人你不会不知道他们常在哪里吧?)。
第四步:填写用过的密保资料,知道就填吧,我相信你不知道,所以不用填了。
第五步:邀请好友辅助申诉,没有,就不填了。
第六步:提示说资料少,难通过,下面的图就说明了是不是难通过。
第七步:提交完毕有回执,这个保存不保存都一样,因为系统会发一份给你的。
第八步:看,邮箱收到的回执(注意:时间是中午11:40)。
第九步:申诉成功(注意:时间是中午11:41),居然只要一分钟?真的是系统审核么?
简简单单三分钟,你就可以获取你上司的QQ密码;简简单单三分钟,你就可以获取你爱人的QQ密码。因为现在聊天记录漫游了,还可以看TA们的聊天记录,我的天呐,这还有隐私么?!!!虽然TA们一样可以申诉拿回帐号,但是TA申诉这些时间里我想干的早就干完了。
漏洞证明:
如上
修复方案:
无
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-06-06 16:46
厂商回复:
非常感谢您的报告。您反馈的这个问题已经被公开,我们已从其他渠道获悉,故我们选择“忽略”。
最新状态:
暂无