当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011292

漏洞标题:邮件导入联系人在QQ空间好友管理中邮箱联系人进行疯狂加好友。1天加几千万好友!!超级大漏洞!

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2012-08-24 18:13

修复时间:2012-10-08 18:17

公开时间:2012-10-08 18:17

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-24: 细节已通知厂商并且等待厂商处理中
2012-08-29: 厂商已经确认,细节仅向厂商公开
2012-09-08: 细节向核心白帽子及相关领域专家公开
2012-09-18: 细节向普通白帽子公开
2012-09-28: 细节向实习白帽子公开
2012-10-08: 细节向公众公开

简要描述:

邮件导入联系人在QQ空间好友管理中邮箱联系人进行疯狂加好友。1天加几千万好友!!超级大漏洞!
最近一直收到加好友消息骚扰“嗨,我是**加一下我吧”后来发现很多人都在利用这个漏洞发邀请信息,特别是有人利用WEBQ空间导入 1小时竟然可以加100万人。发几千万验证邀请信息!

详细说明:

先把要加的QQ导入QQ邮箱联系人。导入成功后进入QQ空间管理好友然后导入邮箱联系人进而无限制加好友 现在好象QQ空间就一直频繁了但是发现WEB版本软件可以无限制1小时1个电脑发送上千万条 1小时加上百万人。。。。。


漏洞证明:


修复方案:

目前发现HTTP 大部分时间频繁用不了 但是WEB 可以疯狂无限制的加 现在估计每天上千万QQ用户被人骚扰!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-08-29 15:32

厂商回复:

感谢反馈,目前我们已经在跟进处理中,由于已经有用户向我们报告此漏洞的情况,故rank分较低,仍然感谢您的反馈。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-24 18:40 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    100万啥概念,能加这么多?别夸张好么。

  2. 2012-08-24 18:40 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    =.= 难怪每天那么多垃圾小号加。。

  3. 2012-08-24 18:55 | 温柔杀手 ( 路人 | Rank:2 漏洞数:1 | 这是个马甲,用来装比)

    貌似正在修复。要不就是一群人正在用。服务器繁忙。

  4. 2012-08-24 19:00 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    骚年题目能再长一些呢?

  5. 2012-08-24 20:16 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    好像补了?

  6. 2012-08-24 20:46 | 害虫 ( 路人 | Rank:23 漏洞数:2 | rank 神马的都是浮云)

    这个洞几个月前久出来了,当时我测试不稳定,不是秒谈所以没有深入

  7. 2012-08-24 21:25 | 大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)

    超级大漏洞..呵呵..看了之后特震撼,你们知道么.震得我都想尿尿了

  8. 2012-08-25 01:08 | king ( 路人 | Rank:15 漏洞数:2 | 喜爱安全,网络游戏安全应用漏洞挖掘)

    呵呵 我也收到了 嗨,我是**加一下我吧”

  9. 2012-08-25 02:05 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    那你QQ上次线岂不是要两个月?

  10. 2012-08-25 09:14 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    每个qq好友人数与等级有关……

  11. 2012-08-25 09:14 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    ....配合G牛的什么系统推送XSS 那不是很牛X哇

  12. 2012-08-25 11:17 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

    最近很多人加我.还在卖技术.

  13. 2012-08-25 11:52 | 向小子 ( 路人 | Rank:9 漏洞数:4 | 一个无聊的人)

    目测腾讯已经限制

  14. 2012-08-29 16:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @向小子 腾讯总是有用户已经向他们反馈啊

  15. 2012-08-29 18:35 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    腾讯有自己的漏洞平台的,漏洞换礼物提交人就多了

  16. 2012-08-30 20:59 | 向小子 ( 路人 | Rank:9 漏洞数:4 | 一个无聊的人)

    @xsser 我有一个腾讯的洞,一天感染几十万人。腾讯说提供漏洞就给你一句谢谢~

  17. 2012-11-30 22:34 | Stream ( 路人 | Rank:6 漏洞数:2 | 低头要有勇气,抬头要有底气!)

    可惜没用了。