漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-048680
漏洞标题:统计网站泄漏QQ认证信息无需QQ帐号密码登录QQ
相关厂商:腾讯
漏洞作者: Nanka
提交时间:2014-01-12 19:49
修复时间:2014-02-26 19:50
公开时间:2014-02-26 19:50
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-12: 细节已通知厂商并且等待厂商处理中
2014-01-15: 厂商已经确认,细节仅向厂商公开
2014-01-25: 细节向核心白帽子及相关领域专家公开
2014-02-04: 细节向普通白帽子公开
2014-02-14: 细节向实习白帽子公开
2014-02-26: 细节向公众公开
简要描述:
通过一些特定方法骗取这种链接,就可以无需帐号密码登录QQ,造成的危害你懂的
详细说明:
昨日在查看我的网站来路时点击来路,意外进入别人的QQ,由于我用的是搜狗浏览器,毕竟最开始爆出过搜狗浏览器的问题,我也不知道是真是假,所以最开始就怀疑是浏览器问题,然后通过测试,发现手机上通过这个链接也可以登录
漏洞证明:
首先找到来路里的flower.3g.qq.com,然后点击go进去
然后他会弹到一个手机QQ的QQ花园里面去
再点击手机腾讯网,然后点击登录QQ会发现不需要帐号和密码就可以直接上去
成功的登录了,就跟正常登录一样,最开始我以为是浏览器问题,但最后我在多个手机和电脑上测试,发现都可以登录问题就是在这样一段链接http://flower.3g.qq.com/flower/cancel_event.jsp?sid=AWu0s4dUW61tCArLPlJw4UxK
要查找此内链接可以去51.la,然后进排行榜点申通的统计,然后进来路搜索3g.qq.com,我已经查找到好几个,并通知其修改密码了,密码修改后该链接就失效了,要是被别有用心的人通过特定的方法来诱骗访问,就有可能获取的这样一段链接
修复方案:
这要专业人士来解决了,小菜没那个技术
版权声明:转载请注明来源 Nanka@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-01-15 11:27
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无