当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04164

漏洞标题:朋友网查看任意用户QQ号码

相关厂商:腾讯

漏洞作者: Jian(64bit)

提交时间:2012-02-02 19:40

修复时间:2012-03-18 19:40

公开时间:2012-03-18 19:40

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-02: 细节已通知厂商并且等待厂商处理中
2012-02-03: 厂商已经确认,细节仅向厂商公开
2012-02-13: 细节向核心白帽子及相关领域专家公开
2012-02-23: 细节向普通白帽子公开
2012-03-04: 细节向实习白帽子公开
2012-03-18: 细节向公众公开

简要描述:

腾讯朋友网(pengyou.com)可以查看任意用户QQ号码。

详细说明:

腾讯朋友网(pengyou.com)可以查看任意用户QQ号码。
1.随便查找一个用户,在用户首页点击说说或分享进入,然后查看源代码


Uin后面的数字就是当前朋友网主页用户QQ号码。
2.随便查找一个用户,在用户首页-留言板 进入某条留言 点击举报。

漏洞证明:

1.


2.


3.


修复方案:

一枚菜鸟
TX比我更专业
想要个邀请码

版权声明:转载请注明来源 Jian(64bit)@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-02-03 09:52

厂商回复:

thx

最新状态:

暂无

漏洞评价:

评论

  1. 2012-02-03 13:56 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    厂商回复的“thx”是神马意思?希望公开漏洞内容看看。

  2. 2012-02-03 19:22 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    意思是 thanks。。一个月后就会自动公开

  3. 2012-03-04 20:02 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    你怎么挖出来的...

  4. 2012-03-05 01:31 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    公开的好慢。。“uin”是QQ号码,没想到。。

  5. 2012-03-05 08:39 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    @Blackeagle @瓜瓜 社工某个微信好友的时候发现的 哈哈

  6. 2012-03-05 12:45 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    哈哈,强大

  7. 2012-03-18 20:10 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    @Jian(64bit) 之前想了找了很久..哈哈,不过没找到..原来举报信息里面会涵盖.

  8. 2012-03-18 22:30 | Jian(64bit) ( 实习白帽子 | Rank:65 漏洞数:15 | 世界上有10种人,懂二进制的和不懂的.)

    @Frankie 随便查找一个用户,在用户首页点击说说或分享进入,然后查看源代码 呵呵

  9. 2012-03-19 21:09 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    @Jian(64bit) 都被修复了...你告诉也没用了啊.貌似用了MD5加密了.