当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01404

漏洞标题:Qzone越权删除最近访客漏洞

相关厂商:腾讯

漏洞作者: CrazyLive

提交时间:2011-02-23 18:25

修复时间:2011-02-24 09:41

公开时间:2011-02-24 09:41

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-02-23: 细节已通知厂商并且等待厂商处理中
2011-02-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

低级漏洞,可以删除Qzone最近访问。

详细说明:

1.登陆对方Qzone.
2.查看最近访客Q号
3.地址栏输入以下代码

javascript:;QOM.Visitor.clickHideBTN(要擦除痕迹的Q号)

漏洞证明:

修复方案:

版权声明:转载请注明来源 CrazyLive@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-02-24 09:41

厂商回复:

按照所述,我们未能重现问题;同时,作为一段本地执行的JS,我们认为不存在问题

最新状态:

暂无


漏洞评价:

评论

  1. 2011-02-24 01:48 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    哦 这个貌似比较犀利 呵呵 求分享!

  2. 2011-02-24 11:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    作者可能没刷新?

  3. 2011-02-24 22:03 | Jacks ( 普通白帽子 | Rank:162 漏洞数:25 | ╮(╯▽╰)╭ 情何以堪 http://royalhack....)

    是删除本地QQ空间访客 还是对方空间来访的客人??

  4. 2011-09-07 13:08 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    玩本地假象么,直接用伪协议操作document来隐藏掉那个元素不是还简单

  5. 2012-04-30 16:09 | Say ( 路人 | Rank:17 漏洞数:4 | 谁又会鉴定谁正常?)

    告诉你个更厉害的代码....javascript:document.body.contentEditable='true';document.designMode='on'; void 0你会发现你可以编辑别人的网页了!无需admin权限!javascript:document.body.contentEditable='false';void 0改完输这个你就留完名了 = =

  6. 2013-05-12 14:18 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    这个竟然是闪电..=.=