漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯注册qq号腾讯注册qq号某处设计不当可导致资源消耗
相关厂商:腾讯
提交时间:2012-11-27 17:43
修复时间:2012-11-28 10:39
公开时间:2012-11-28 10:39
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-11-27: 细节已通知厂商并且等待厂商处理中
2012-11-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
难道这个问题只值3rank吗,请认真评估,如果确实不严重请说明,谢谢
详细说明:
问题很简单,发送短信验证手机对短信数数有限制,但是更改手机号就没限制
就是说对单个手机只能10条,但换手机号就无限制了,我搞个10台服务器遍历多有139,150,133,158等手机段,看你服务器厉害还是post速度厉害,是不是运营商要找你麻烦了
漏洞证明:
注册qq界面
修改post手机号即可,用burp的numbers直接遍历数字即可
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-11-28 10:39
厂商回复:
非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。
最新状态:
2012-11-30:非常感谢 小胖胖要减肥 的反馈,这个问题我们认为不是安全漏洞,而是一个设计不当,虽然我们采取的“忽略”措施,但是这个信息对腾讯也是非常有价值的,业务同事也会修复这个设计不当
漏洞评价:
评论
-
2012-11-27 19:24 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@剑心,这个绝对好玩,如果你们没有限制的话真的玩大了啊,有木有
-
2012-11-27 19:33 |
Errorera ( 普通白帽子 | Rank:112 漏洞数:21 | 我们应该在犯错误的情况下学习!)
-
2012-11-27 19:35 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@Errorera 的确影响有限 洞主发个通用的别刷了 伤不起
-
2012-11-27 19:39 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2012-11-27 19:45 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@蟋蟀哥哥 这个应该可以遍历所有手机号(一个手机号最多10条短信),直接burp跑,即是针对各个运营商又是针对腾讯,不知道这样搞的时候服务器会不会有限制
-
2012-11-27 23:28 |
街球幽灵 ( 路人 | Rank:29 漏洞数:5 | 社会工程学研究,手机维修工程师。)
-
2012-11-28 00:26 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
@小胖胖要减肥 尼玛。。你真的要刷到500rank?
-
2012-11-28 08:30 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@蟋蟀哥哥 不刷了 剑心不让刷了 反正腾讯这个最好玩,你去玩玩吧,给全国人民每人10天,不知道能不能实现 就2个内部厂商下次再提交下
-
2012-11-28 10:49 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2012-11-28 11:11 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 你觉得这个至于直接公开么,我不信没人会去玩,如果他们再修复即忽略后修复,那下次我这种洞先放qq群去了
-
2012-11-28 11:25 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 胖哥,这个肯定有人会玩,但是玩到影响到TX的业务还是需要点成本的吧~
-
2012-11-28 11:27 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 给腾讯服务器压力和暴力破解速度一样,100万短信最多10分钟,这个只是单台一般的机器,服务器更多,你觉得需要多少成本
-
2012-11-28 11:30 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 TX大佬级别厂商~服务器比较强悍~这东西没啥好处,谁愿意去干呢~~哈哈,胖哥对安全的要求比较高~
-
2012-11-28 11:31 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 哈哈,别纠结了,301的事情才过去~~
-
2012-11-28 11:33 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 不纠结 下次这种直接放娱乐群大家娱乐娱乐就ok嘛,还有我肯定没@xsser 胖,真的
-
2012-11-28 11:35 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@小胖胖要减肥 不好意思 刚瘦 净重 120斤 171cm
-
2012-11-28 11:36 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2012-11-28 11:40 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n @xsser http://static.oschina.net/uploads/space/2012/0714/232522_xsLG_96577.jpg 我的 不求基友
-
2012-11-28 11:46 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-11-28 11:49 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@蟋蟀哥哥 我也不信,蟋蟀哥哥都不止120,虽然他只是蟋蟀
-
2012-11-28 11:59 |
popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)
-
2012-11-28 12:00 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@popok 嗯 平台能保证公开大家能发表自己的意见就好了 :)
-
2012-11-28 15:05 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
-
2012-11-28 15:53 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@一刀终情 反正我就一句话,既然你选择主动忽略就不要修复,不然就是打击白帽子了,@xsser 这句话总对的吧,不然厂商把漏洞都修复后主动忽略就没意思了,如果碰到这类问题,wooyun至少应该补rank,而且这种事情总是发生
-
2012-11-28 15:56 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-11-28 16:32 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2012-11-28 21:36 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@xsser 这个好~可以去zone,科普一下;感觉有些人大大的缺乏;非授权入侵都不知道违法;还有很多人认为在wooyun注册过的厂商就默认授权可以进行检测;这些都说明白了撒
-
2012-11-28 21:58 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )