当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013494

漏洞标题:QQ时尚官网XML文件查看QQ好友列表

相关厂商:腾讯

漏洞作者: 风音

提交时间:2012-10-18 11:08

修复时间:2012-10-18 14:14

公开时间:2012-10-18 14:14

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-18: 细节已通知厂商并且等待厂商处理中
2012-10-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

再QQ时尚官网登陆,然后访问qqring_new/xml_friend_list.php即可获取QQ好友列表

详细说明:

先登陆,然后访问 http://qqring.qq.com/qqring_new/xml_friend_list.php

漏洞证明:

修复方案:

版权声明:转载请注明来源 风音@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-10-18 14:14

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-10-18 14:31 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    只能说QQ对漏洞理解产生了偏差

  2. 2012-10-18 16:35 | 剑心 ( 实习白帽子 | Rank:37 漏洞数:9 | xsser)

    @xsser 这个在配合着一个xss的前提下当然是漏洞,TX自信没有XSS,你有啥办法

  3. 2012-10-18 16:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @剑心 马甲,对此你怎么看?

  4. 2012-10-18 16:41 | 剑心 ( 实习白帽子 | Rank:37 漏洞数:9 | xsser)

    @xsser 除非有什么很好的办法绕过浏览器的跨域保护读取,或者能配合一个同域的xss,你也没法拿人家的好友数据,这种应该算漏洞,只是影响不大或者目前情况下大家看不到影响

  5. 2012-10-18 16:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @剑心 腾讯删得真快啊..... 404了,又玩这一招

  6. 2012-10-18 16:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @xsser <cross-domain-policy><allow-access-from domain="*.qq.com" secure="false"/></cross-domain-policy> 这是没删除时候的内容,crossdomain.xml

  7. 2012-10-18 16:47 | 剑心 ( 实习白帽子 | Rank:37 漏洞数:9 | xsser)

    @xsser tx自信.qq域也没有跨站撒

  8. 2013-09-25 14:02 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    mark