当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038744

漏洞标题:同一个IP内申诉QQ通过率高(同一公司内有风险)

相关厂商:腾讯

漏洞作者: MR.小宇宙

提交时间:2013-10-02 21:21

修复时间:2013-10-09 14:56

公开时间:2013-10-09 14:56

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:2

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-02: 细节已通知厂商并且等待厂商处理中
2013-10-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

公司上班闲来无事,准备戏弄下公司里的人,于事用QQ申诉的方法去申诉同事的QQ结果不用提交QQ辅助好友,很轻松的就通过了申诉。

详细说明:

公司上班闲来无事,准备戏弄下公司里的人,于事用QQ申诉的方法去申诉同事的QQ结果不用提交QQ辅助好友,很轻松的就通过了申诉。之后我就想是不是局域网内如果一个QQ号总在这个范围内登录,即使对方不是好友也能申诉成功呢,于是我测试了下,新注册了一个QQ帐号,之后登录QQ申诉,用来申诉公司人的QQ,申诉资料中没人填写了用户姓名,住址等信息,然后辅助接收结果里写上我新注册的QQ号帐号密码,申诉提交后,马上也成功了。总结:只要同局域网内,一个QQ总在那个IP段里登录,及时对方不是QQ好友不用填写QQ好友辅助也能申诉成功,及时对方绑定了QQ令牌,手机绑定,也一并能成功。

漏洞证明:

修复方案:

版权声明:转载请注明来源 MR.小宇宙@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-09 14:56

厂商回复:

根据报告者提供的信息,我们发现申诉者提供有其它证据,比如历史密码,历史登录、好友等信息,而申诉系统是综合各项证据和用户操作习惯综合来判断是否为号码的主人,因此不存在洞主所述的情况,但依然非常感谢您的反馈。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-02 21:49 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    忽略的节奏,难道取消白名单?做梦

  2. 2013-10-02 21:58 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    常用Ip当然很犀利的……

  3. 2013-10-02 23:53 | 三十度 ( 路人 | Rank:0 漏洞数:1 | 本屌精通各种花式撸管,装逼32式炉火纯青。...)

    这个不奇怪的,只要是同地点的IP,百分之90都能审核通过,常用在线。

  4. 2013-10-03 10:05 | X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )

    尼玛 这是厂商的安全策略 常用IP都不能投诉了 你让忘了QQ密保的用户情何以堪?

  5. 2013-10-03 18:20 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    这都能过?

  6. 2013-10-03 18:45 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    我的7位QQ,挂了20天成功申诉上2代。NND

  7. 2013-10-03 21:23 | sdnjyjm ( 路人 | Rank:9 漏洞数:2 )

    这根本不算漏洞好么...那个IP已经相当于这个QQ所在的"家"了 在“家”里还不通过 那还什么能通过的。。

  8. 2013-10-03 21:33 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @肉肉 早知道我提交我那个技巧就好了···3/8的几率···

  9. 2013-10-05 08:27 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @李旭敏 哈哈,是呢是呢

  10. 2013-10-05 11:20 | Calify ( 路人 | Rank:7 漏洞数:5 | 未能联系到厂商或者厂商积极拒绝)

    这个也能过???

  11. 2013-10-09 15:14 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个也忽略?

  12. 2013-10-09 15:27 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    笑话大了,用白名单IP,无好友辅助。成功把同事QQ申诉回来了。

  13. 2013-10-09 16:58 | 乌云最帅的淫 ( 实习白帽子 | Rank:51 漏洞数:23 | 不以淫荡惊天下,就以闷骚动世人)

    这个洞貌似......

  14. 2013-10-09 17:32 | skyspark ( 路人 | Rank:9 漏洞数:3 | 爱好世界和平)

    申诉问题涉及到另一个“非漏洞的漏洞” 所以呢 忽略了很正常