当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025330

漏洞标题:腾讯邮箱网页生成助手导致用户名和邮件内容泄漏!!

相关厂商:腾讯

漏洞作者: 我的网名

提交时间:2013-06-07 11:26

修复时间:2013-06-07 16:21

公开时间:2013-06-07 16:21

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-07: 细节已通知厂商并且等待厂商处理中
2013-06-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

腾讯的QQ邮箱的网页生成助手泄漏了发件人的邮件地址和邮件内容,只要知道相应的网址就可以知道发件人邮箱和查看邮件内容。
由于QQ邮箱网页生成助手刚刚推出,所以用户的邮件数量比较少,没有太大的问题。如果长期忽视此问题,可能给泄漏用户大量的用户信息,造成很大的危害。

详细说明:

在必应搜索中输入“site:url.mail.qq.com”就可以查看腾讯邮箱用户通过网页生成助手发出的邮件内容和发件人信息。
搜索结果示例:http://cn.bing.com/search?q=site%3aurl.mail.qq.com&go=&qs=n&pq=site%3aurl.mail.qq.com&sc=0-4&sp=-1&sk=&first=11&FORM=PORE

必应搜索结果1.png


2.png

漏洞证明:

泄漏发件人邮箱

发件人邮箱泄漏.png


泄漏的邮件内容

邮件内容泄漏1.png


邮件内容泄漏2.png


修复方案:

第一:QQ邮箱的网页生成助手生成的网页地址不能公开访问,必须限定访问人的身份,必须从邮箱中点开网址链接才能访问。
第二:屏蔽搜索引擎。

版权声明:转载请注明来源 我的网名@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-07 16:21

厂商回复:

经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-07 11:45 | Nicky ( 普通白帽子 | Rank:477 漏洞数:68 | http://www.droidsec.cn 安卓安全中文站)

    围观

  2. 2013-06-07 13:19 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    搜索引擎收录么?

  3. 2013-06-08 14:03 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    忽略了居然

  4. 2013-06-08 14:44 | Nicky ( 普通白帽子 | Rank:477 漏洞数:68 | http://www.droidsec.cn 安卓安全中文站)

    @疯狗 淡定,在TRSC忽略了无数

  5. 2013-06-09 09:49 | liyang ( 路人 | Rank:25 漏洞数:10 | 低调 沉默 守望)

    已经有比较明确的风险提示了

  6. 2013-06-09 11:41 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    - -! http://url.mail.qq.com/k8vBv7TA

  7. 2013-06-09 11:55 | 我的网名 ( 路人 | Rank:0 漏洞数:1 | 这个真没有……)

    @HuGtion 你……

  8. 2013-06-09 12:04 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @HuGtion 你牛啊。。腾讯悄悄把那个内部工作邮件给屏蔽了,还是设计隐私了啊

  9. 2013-06-09 12:13 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    @疯狗 内部工作邮件屏蔽了,其他还在,腾讯竟然忽略了。。。