当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025330

漏洞标题:腾讯邮箱网页生成助手导致用户名和邮件内容泄漏!!

相关厂商:腾讯

漏洞作者: 我的网名

提交时间:2013-06-07 11:26

修复时间:2013-06-07 16:21

公开时间:2013-06-07 16:21

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-07: 细节已通知厂商并且等待厂商处理中
2013-06-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

腾讯的QQ邮箱的网页生成助手泄漏了发件人的邮件地址和邮件内容,只要知道相应的网址就可以知道发件人邮箱和查看邮件内容。
由于QQ邮箱网页生成助手刚刚推出,所以用户的邮件数量比较少,没有太大的问题。如果长期忽视此问题,可能给泄漏用户大量的用户信息,造成很大的危害。

详细说明:

在必应搜索中输入“site:url.mail.qq.com”就可以查看腾讯邮箱用户通过网页生成助手发出的邮件内容和发件人信息。
搜索结果示例:http://cn.bing.com/search?q=site%3aurl.mail.qq.com&go=&qs=n&pq=site%3aurl.mail.qq.com&sc=0-4&sp=-1&sk=&first=11&FORM=PORE

必应搜索结果1.png


2.png

漏洞证明:

泄漏发件人邮箱

发件人邮箱泄漏.png


泄漏的邮件内容

邮件内容泄漏1.png


邮件内容泄漏2.png


修复方案:

第一:QQ邮箱的网页生成助手生成的网页地址不能公开访问,必须限定访问人的身份,必须从邮箱中点开网址链接才能访问。
第二:屏蔽搜索引擎。

版权声明:转载请注明来源 我的网名@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-07 16:21

厂商回复:

经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进。

最新状态:

暂无