当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05683

漏洞标题:腾讯微信短信轰炸

相关厂商:腾讯

漏洞作者: kookxiang

提交时间:2012-03-31 13:51

修复时间:2012-05-15 13:51

公开时间:2012-05-15 13:51

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-31: 细节已通知厂商并且等待厂商处理中
2012-04-01: 厂商已经确认,细节仅向厂商公开
2012-04-11: 细节向核心白帽子及相关领域专家公开
2012-04-21: 细节向普通白帽子公开
2012-05-01: 细节向实习白帽子公开
2012-05-15: 细节向公众公开

简要描述:

可以用来短信轰炸,没有验证码,你懂得~

详细说明:

微信虽然做了针对号码的频率限制,但未对发送者发送频率做限制,即被拦截后还可以发给下一个手机,继续轰炸 = =

漏洞证明:

构造表单:

<form method="post" action="http://weixin.qq.com/cgi-bin/downloadurl?t=weixin_getdownurl_sms&s=send&check=false">
<input type="hidden" name="country" value="+86" />
<input type="text" name="phone" />
<input type="submit" />
</form>

提交即可

修复方案:

针对发送者ip增加限制 或 连续发送增加验证码

版权声明:转载请注明来源 kookxiang@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-04-01 18:48

厂商回复:

非常感谢您的报告

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-31 14:27 | 我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)

    猜一下,是微薄之星的那个??

  2. 2012-03-31 20:20 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    正需要呢

  3. 2012-03-31 20:22 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    腾讯微博客公告关闭用户朋友:近期,通过微博客传播的谣言等违法有害信息造成了不良社会影响,评论跟帖中的有害信息相对较多,需要作集中清理。为此,本网站决定,自3月31日上午8时至4月3日上午8时,暂时停止微博客评论功能。由此给您带来的不便,敬请谅解。腾讯网2012年3月31日

  4. 2012-04-02 20:37 | 天一生水 ( 路人 | Rank:0 漏洞数:2 )

    @水滴 貌似关评论不是因为这个问题,新浪也关了。也是这个时间...

  5. 2012-04-08 17:40 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    靠 又是不公开 求地址 利用