漏洞概要
关注数(24)
关注此漏洞
漏洞标题:WebQQ聊天内容明文发送
相关厂商:腾讯
提交时间:2012-03-30 16:32
修复时间:2012-05-14 16:32
公开时间:2012-05-14 16:32
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-03-30: 细节已通知厂商并且等待厂商处理中
2012-03-31: 厂商已经确认,细节仅向厂商公开
2012-04-10: 细节向核心白帽子及相关领域专家公开
2012-04-20: 细节向普通白帽子公开
2012-04-30: 细节向实习白帽子公开
2012-05-14: 细节向公众公开
简要描述:
WebQQ聊天内容明文发送
详细说明:
漏洞证明:
先从添加好友开始,我的一个测试号加我主号:
抓包中抓到如下数据
经过简单的一个转码后就可以得到请求信息
然后是聊天内容,一样的……
一样可以搜索到明文的内容
经过简单的转码:
(pprint函数对中文不是很感冒,换成print显示下底下的中文字符)
一直看到网上有人说自己公司或网吧的网络管理人员如何如何变态,偷窥自己的QQ聊天记录……我一直纳闷QQ的聊天通信那么容易就被破解么?现在发现,如果用的是WebQQ的话……根本就不用破解什么通信了……
修复方案:
加个密吧……即便不用https协议,起码http的传输内容你也加个密吧……
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2012-03-31 13:59
厂商回复:
非常感谢您的报告
最新状态:
暂无
漏洞评价:
评论
-
2012-03-30 18:45 |
only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)
楼主这货必然是想去测试webQQ图片传马的0day`结果发现腾讯早就悄无声息的修补了..于是发了这么个没价值的洞`哈哈那个洞好久就到手了..只是价值不大..所以最近才被人们放出来
-
2012-03-30 20:41 |
Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )
哈哈 去测试webqq 0day,洞主,大黑阔啊。
-
2012-03-31 08:37 |
一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | PKAV技术宅社区-安全爱好者)
@only_guest web端打客户端的?好像昨天见到个视频@@
-
2012-03-31 10:09 |
X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)
@only_guest 还真不是,和图片那个没啥关系,说实话我只知道有个图片传马的洞,而且知道已经修复了,你说了我才知道那个洞是webqq的……我这个只是因为群里有人说WebQQ用着不爽,然后大家就聊起来,突然有个人说WebQQ不会是没加密的吧,然后我就抓包看了下,还真没加密。这个其实都不算洞,只是想通过乌云这个渠道向腾讯反馈下建议,毕竟这个渠道比找腾讯客服靠谱吧~~今次而已。本来自评Rank都想给0的,后来想想,还是给个5让人家稍微重视一下吧……呵呵~
-
2012-03-31 10:13 |
wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)
饿,记得webQQ那个图片传马的好像是中旬被补的。
-
2012-05-14 17:22 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@X-Secure @only_guest @wanglaojiu webqq怎么传木马啊?
-
2012-05-14 18:15 |
牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:21 | 晚安,牛奶)
一直感脚吧,本来C/S不是很好分析,这下B/S给打通了一个接口,而且官方还不重视这个软肋~
-
2012-05-15 09:34 |
princehaku ( 路人 | Rank:1 漏洞数:2 | 无证程序员)
-
2012-05-15 14:25 |
only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)
@xsser 我记得是WEBQQ上传文件只验证了文件类型.绕过后你传个EXE.就像发图片一样`发送给对方.对方只要一点击那张图片就会执行那个EXE,危害非常严重的一个洞..大家准备多玩一段时间的.也不知道怎么就突然补了`
-
2012-05-15 15:12 |
wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)
@only_guest 你说的是webQQ挂马那个吧,都补了好久了。
-
2012-05-20 22:54 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
http://weibo.com/2656220757/ycaQ0BsZA 是说这个么 @only_guest ,技术细节是通过webQQ来?
-
2012-05-21 22:04 |
only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)
@xsser 是的.其实就抓包改下就好了...没啥技术细节.