当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038744

漏洞标题:同一个IP内申诉QQ通过率高(同一公司内有风险)

相关厂商:腾讯

漏洞作者: MR.小宇宙

提交时间:2013-10-02 21:21

修复时间:2013-10-09 14:56

公开时间:2013-10-09 14:56

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-02: 细节已通知厂商并且等待厂商处理中
2013-10-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

公司上班闲来无事,准备戏弄下公司里的人,于事用QQ申诉的方法去申诉同事的QQ结果不用提交QQ辅助好友,很轻松的就通过了申诉。

详细说明:

公司上班闲来无事,准备戏弄下公司里的人,于事用QQ申诉的方法去申诉同事的QQ结果不用提交QQ辅助好友,很轻松的就通过了申诉。之后我就想是不是局域网内如果一个QQ号总在这个范围内登录,即使对方不是好友也能申诉成功呢,于是我测试了下,新注册了一个QQ帐号,之后登录QQ申诉,用来申诉公司人的QQ,申诉资料中没人填写了用户姓名,住址等信息,然后辅助接收结果里写上我新注册的QQ号帐号密码,申诉提交后,马上也成功了。总结:只要同局域网内,一个QQ总在那个IP段里登录,及时对方不是QQ好友不用填写QQ好友辅助也能申诉成功,及时对方绑定了QQ令牌,手机绑定,也一并能成功。

漏洞证明:

修复方案:

版权声明:转载请注明来源 MR.小宇宙@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-09 14:56

厂商回复:

根据报告者提供的信息,我们发现申诉者提供有其它证据,比如历史密码,历史登录、好友等信息,而申诉系统是综合各项证据和用户操作习惯综合来判断是否为号码的主人,因此不存在洞主所述的情况,但依然非常感谢您的反馈。

最新状态:

暂无