漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-042676
漏洞标题:QQ帐号一站式Key的安全漏洞(附利用实例样本)
相关厂商:腾讯
漏洞作者: 路人甲
提交时间:2013-11-12 16:47
修复时间:2013-11-13 14:51
公开时间:2013-11-13 14:51
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-12: 细节已通知厂商并且等待厂商处理中
2013-11-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
QQ帐号一站式Key没有使用安全协议,导致在页面间传递泄露,可以利用这个key操作QQ空间、腾讯微博等,为一种新型QQ盗号思路,目前已经出现利用工具
详细说明:
本漏洞是本人在做木马分析时候发现,具体流程如下
1)木马利用QQ的快捷登录控件,请求http://xui.ptlogin2.qq.com/cgi-bin/qlogin
然后点击页面上的登录,腾讯服务器会返回一个clientkey和当前登录的qq号并且跳转到www.qq.com
2)木马将获取到clientkey把获取到的clientuin及clientkey发送到远程服务器,不断刷新这个clientkey,使其有效,那么就可以利用有效的clientkey操作这个qq号的说说、日志、签名、分享、群成员
这个漏洞目前已经出现利用实例:http://www.mileyx.com
木马样本:http://wydrops-wordpress.stor.sinaapp.com/uploads/2013/11/t.rar
漏洞证明:
上述流程你可以自己亲手试下
木马窃取clientuin及clientkey流程截图:
如图:木马利用QQ的快捷登录获取clientuin及clientkey。
可以从上图中看出qq及clientkey最后会通过如下请求发送到木马所有者的服务器上
修复方案:
null
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-11-13 14:51
厂商回复:
非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。
最新状态:
暂无