漏洞概要
关注数(24)
关注此漏洞
漏洞标题:钓鱼网站肆虐大量QQ帐号密码被泄露钓鱼受害者已经过万(传统钓鱼升级)
相关厂商:腾讯
提交时间:2015-04-07 11:03
修复时间:2015-05-23 15:30
公开时间:2015-05-23 15:30
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-04-07: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开
简要描述:
无意间找到一个QQ钓鱼网站的后台,发现有漏洞,于是深入之……发现已有大量QQ帐号密码泄漏,大部分为广州地区,受害者还在不停的增加中。虽然不知道他们用的什么手段钓鱼,但是保证用户QQ帐号安全,腾讯有责任吧?
详细说明:
涉及到的两个域名:
是不是很逼真?
还有很多,就不截图了。
再来看看目前为止泄漏的帐号有多少吧!
漏洞证明:
后台地址:http://uhmpj.cn/WebAdmin/Login.asp
万能密码入之
先访问:http://uhmpj.cn/%3B1/%23admin/%23%23SX.html(否则后面总的数据有密码进不去)
再访问:http://uhmpj.cn/%23total/%23admin/%23%23zongtaishouxin/qtmb.asp
再来个成功登陆的QQ号:就拿最新的1724951268试试吧
美女账号众多哦~腾讯你好意思不好好保护么?
修复方案:
这虽然不是腾讯的漏洞,但是却深深的伤害了腾讯用户,所以该屏蔽的屏蔽,该提醒的提醒!
在QQ空间、微博、对话框等,屏蔽这两个域名:
uhmpj.cn
filxx.cn
当然,以后还会出现更多,还需要腾讯加强过滤,保护用户。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-04-08 15:28
厂商回复:
非常感谢你的反馈,已在处理中。
最新状态:
暂无
漏洞评价:
评论
-
2015-04-08 15:31 |
catcat520 ( 路人 | Rank:20 漏洞数:4 | 大家好,我是刚学网络 00后,求照顾,谢谢)
目测是之前2012年的旧漏洞,跟我前几天发给乌云的差不多,虽然审核未通过,其实用来钓鱼普通用户已经足够了
-
2015-04-08 16:02 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2015-04-08 16:13 |
catcat520 ( 路人 | Rank:20 漏洞数:4 | 大家好,我是刚学网络 00后,求照顾,谢谢)
-
2015-04-08 16:41 |
catcat520 ( 路人 | Rank:20 漏洞数:4 | 大家好,我是刚学网络 00后,求照顾,谢谢)
@xsser 刚刚提交了样本的简单分析,如果通过的话,可看看
-
2015-04-08 16:46 |
’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)
@腾讯 哥们问下2009年的腾讯数据还有么??我2009年的数据去审核 ,他说数据不统一为何???
-
2015-04-08 19:15 |
动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)
广州黑阔最多了, 发现两次可疑ip登录,两次都是广州,黑阔登号连代理都懒得挂
-
2015-04-08 22:50 |
Dream° ( 实习白帽子 | Rank:52 漏洞数:13 | 成长需要拥有不断探索的能力....)
-
2015-04-11 12:39 |
冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)
-
2015-05-23 16:24 |
Fire ant ( 实习白帽子 | Rank:73 漏洞数:26 | 他们回来了................)
-
2015-05-23 17:34 |
上官元恒 ( 路人 | Rank:3 漏洞数:3 | 屌丝程序员一枚,上能修电脑,下能装系统。)
-
2015-05-23 21:44 |
冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)
hack by wooyun.org ,fuck you By:2m 我就呵呵了……
