漏洞概要
关注数(24)
关注此漏洞
漏洞标题:利用JSONP劫持可以泄漏QQ号
相关厂商:腾讯
提交时间:2014-06-16 23:33
修复时间:2014-07-31 23:34
公开时间:2014-07-31 23:34
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-06-16: 细节已通知厂商并且等待厂商处理中
2014-06-17: 厂商已经确认,细节仅向厂商公开
2014-06-27: 细节向核心白帽子及相关领域专家公开
2014-07-07: 细节向普通白帽子公开
2014-07-17: 细节向实习白帽子公开
2014-07-31: 细节向公众公开
简要描述:
JSONP泄漏QQ号也可以提交?
详细说明:
登录空间、邮箱等等众多腾讯的网页产品再访问
http://zf.huanle.qq.com/cgi-bin/hlddz_box/hlddz_silver_to_gold_box?callback=haha
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-06-17 16:52
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理
最新状态:
暂无
漏洞评价:
评论
-
2014-06-17 00:10 |
AsdFinal ( 路人 | 还没有发布任何漏洞 | 文科生,安全和编程爱好者,ACM中)
大锅,你让我们高中毕业狗暑假好不容易接点黑活的咋个办?
-
2014-06-17 01:04 |
0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)
-
2014-06-17 01:26 |
动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)
@AsdFinal 为什么是还没有发布漏洞?内部人士?
-
2014-06-17 09:12 |
0xev4l ( 路人 | Rank:0 漏洞数:1 | 努力吧!骚年!北京买房买车买菜!)
-
2014-06-18 09:39 |
落叶 ( 路人 | Rank:1 漏洞数:2 | xxxx)
-
2014-08-01 07:00 |
by灰客 ( 路人 | Rank:20 漏洞数:12 )
-
2014-08-01 09:07 |
孤零落叶寒 ( 普通白帽子 | Rank:162 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)
-
2014-08-01 11:56 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
-
2014-08-01 12:21 |
魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
奇怪这个洞能怎么利用。。都已经能登录QQ空间了还查不到QQ号?
-
2014-08-01 13:54 |
孤零落叶寒 ( 普通白帽子 | Rank:162 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)
@魂淡、 jsonp会回调callback,实现跨域。然后别人就可以用加段代码放网站,就能获取到部分访问网站客户的QQ,然后主动营销
-
2014-08-01 17:56 |
魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
@孤零落叶寒 只是获取QQ的话其实应该用不到这么麻烦的。。
-
2014-08-01 18:10 |
孤零落叶寒 ( 普通白帽子 | Rank:162 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)
@魂淡、 呃,很容易,你举个例子。现在网上做的访客系统,一种是这种jsonp,其他的就是利用腾讯的某些应用,具有记录访客功能的,隐藏加载一个网页,再从那个网页提取最近访客
-
2014-08-01 19:32 |
魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
-
2014-08-10 20:08 |
AsdFinal ( 路人 | 还没有发布任何漏洞 | 文科生,安全和编程爱好者,ACM中)
@魂淡、 一般都是iframe吧?我试过,大都会整页跳转到腾讯的站点
