当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019020

漏洞标题:通过QQ号码查找微博,泄露特定用户QQ空间,相册密码

相关厂商:腾讯

漏洞作者: S_先生

提交时间:2013-02-22 10:30

修复时间:2013-02-22 11:09

公开时间:2013-02-22 11:09

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-22: 细节已通知厂商并且等待厂商处理中
2013-02-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ空间和相册设置的密码,问题,符合特定条件,通过微博中信息就可以轻松破解密码,进行未授权访问。既然设置了密码,隐私就不想曝光,危害还是比较大的。

详细说明:

找到一个用户,很想看她的空间,照片等。

1.jpg


空间设置了密码,提示问题(大量用户设置了自己叫什么这样的问题:特定用户)无法访问。

4.jpg


打开我们自己的QQ空间,点开左边的“腾讯微博”,在右上红色搜索框内输入你查找微博的QQ号码。

2.jpg


按下搜索,图中出现此QQ号码用户的微博账号(多数微博账号都是用的真实姓名)

3.jpg


用搜索得到的真实姓名,解答空间密码的提示问题,很轻松的进入空间。

5.jpg


漏洞证明:

5.jpg


空间有大量此类用真实姓名为密码的用户,所以危害感觉还是很大的。
同样用户相册也有大量类似密码,就不再赘述了。

修复方案:

你叫什么?
打死我也不说!
空间,相册提示问题,不再出现回答自己的真实姓名的问题!
我这脑子也就只能想这步了。

版权声明:转载请注明来源 S_先生@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-02-22 11:09

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-22 11:03 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    马克

  2. 2013-02-22 11:32 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    有点儿意思

  3. 2013-02-22 12:10 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @xsser 根本不是TX问题·

  4. 2013-02-22 12:11 | Royal. ( 路人 | Rank:27 漏洞数:8 )

    这个怎么也能审核通过······

  5. 2013-02-22 12:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @数据流 我看到的是早期qzone和qq为主的业务不鼓励实名,所以用户名字,生日住址算是隐私,后来腾讯微博等社交兴起,这些都是被鼓励公开的,导致一些安全策略的失效,我觉得是问题

  6. 2013-02-22 12:22 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    有危害就有问题

  7. 2013-02-22 12:54 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    如果设置的是别的问题,就进不去了,而且微博也不都是真实姓名。。

  8. 2013-02-22 13:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @围剿 嗯 考虑腾讯用户量

  9. 2013-02-22 13:13 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @xsser 我觉得这充其量也就算社工的一种,tx也不可能禁止查询微博用户的。

  10. 2013-02-22 23:23 | S_先生 ( 路人 | Rank:2 漏洞数:2 | 请叫我S先生)

    @Royal 为什么不能呢?问题存在那里。

  11. 2013-02-22 23:24 | S_先生 ( 路人 | Rank:2 漏洞数:2 | 请叫我S先生)

    @围剿 对 这个就针对用真实姓名的,所谓“特定”了。

  12. 2013-02-22 23:26 | S_先生 ( 路人 | Rank:2 漏洞数:2 | 请叫我S先生)

    @D&G 里面有艳照的。

  13. 2013-02-22 23:39 | S_先生 ( 路人 | Rank:2 漏洞数:2 | 请叫我S先生)

    @xsser 把真实姓名问题从提示问题里去掉就可以了,摆明就是问题嘛。

  14. 2013-02-23 07:26 | 剑指天涯 ( 路人 | Rank:1 漏洞数:1 | 我是来乌云打酱油的,没提过漏洞,没拿过ra...)

    现在QQ圈子基本上都暴露隐私,如果希望不泄露隐私的话,腾讯所有产品都要改进,这种问题厂商直接忽略,如果说就姓名而已算不了什么,社工几分钟就出来了,百度什么都能搜到你提交个百度泄露隐私的漏洞吧,你觉得百度会确认吗?

  15. 2013-02-23 11:19 | 灵魂天使 ( 路人 | Rank:10 漏洞数:4 | 突然发现 路人甲才是最牛的)

    这貌似跟TX没关系 你也能在wooyun资料上写上你名字 哦耶

  16. 2013-02-23 21:45 | 0x7c ( 路人 | Rank:4 漏洞数:4 | 我的0day用完了)

    好无聊啊

  17. 2013-02-24 19:57 | 15.90u119 ( 路人 | Rank:0 漏洞数:1 | )

    楼主打那么多码,最后还是露点了。

  18. 2013-02-25 21:23 | S_先生 ( 路人 | Rank:2 漏洞数:2 | 请叫我S先生)

    @15.90u119 见笑见笑

  19. 2013-03-01 22:58 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    企鹅躺枪了....

  20. 2013-03-19 22:42 | 包包 ( 路人 | Rank:6 漏洞数:5 | 我是菜鸟,我怕谁?小弟新来,望大牛多多包...)

    这也叫漏洞?

  21. 2013-03-21 14:54 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    妹子就是要让知道和能知道自己姓名的汉子进空间,肿么了?