漏洞概要
关注数(24)
关注此漏洞
漏洞标题:iPhone QQ 与任意账号强制聊天(QQ:10001为例)
相关厂商:腾讯
提交时间:2016-01-07 14:23
修复时间:2016-02-20 15:48
公开时间:2016-02-20 15:48
漏洞类型:URL跳转
危害等级:低
自评Rank:4
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2016-01-07: 细节已通知厂商并且等待厂商处理中
2016-01-07: 厂商已经确认,细节仅向厂商公开
2016-01-17: 细节向核心白帽子及相关领域专家公开
2016-01-27: 细节向普通白帽子公开
2016-02-06: 细节向实习白帽子公开
2016-02-20: 细节向公众公开
简要描述:
不添加好友也能通过QQ咨询给对方发送消息。
即使对方设置了屏蔽临时会话,在 iPhone QQ 上仍然能收到临时会话消息。
详细说明:
mqqwpa:// 协议没有加密,可以通过 mqqwpa://im/chat?chat_type=wpa&uin=QQ号码&version=1&src_type=web&web_src=&name=0 给任何QQ发送消息,而且不受对方“QQ在线状态”服务是否启用和PC端屏蔽临时会话的限制。
如果提示红色感叹号发送失败,尝试多次发送即可发送成功,如图。
为了确认对方的确已经收到,我尝试用自己的 QQ ,已屏蔽所有PC端临时会话,关闭“QQ通讯组件”试了一下:
而我已经关闭了QQ通讯组件:
漏洞证明:
写了一个方便使用的工具:
修复方案:
版权声明:转载请注明来源 i_82@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2016-01-07 16:56
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无
漏洞评价:
评价
-
2016-01-07 16:59 |
子非海绵宝宝 
( 核心白帽子 | Rank:1296 漏洞数:131 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2016-01-07 17:01 |
帅 ( 路人 | Rank:30 漏洞数:2 | 一个正经的JAVA程序猿)
-
2016-01-07 17:01 |
king7 ( 普通白帽子 | Rank:1619 漏洞数:231 )
-
2016-01-07 17:01 |
cwkiller ( 路人 | Rank:18 漏洞数:8 | cwkiller)
-
2016-01-07 17:05 |
大师兄 ( 路人 | Rank:29 漏洞数:7 | 每日必关注乌云)
非常感谢您的报告,问题已着手评论,感谢大家对乌云业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进评论。
-
2016-01-07 17:25 |
Mark0smith ( 普通白帽子 | Rank:106 漏洞数:41 )
-
2016-01-07 17:31 |
Aasron ( 普通白帽子 | Rank:210 漏洞数:59 | 工欲善其事,必先利其器)
-
2016-01-07 17:33 |
von ( 路人 | Rank:2 漏洞数:1 | 一个帅字贯穿了我的一生~)
-
2016-01-07 17:36 |
心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)
-
2016-01-07 17:42 |
BMa ( 普通白帽子 | Rank:1924 漏洞数:216 )
-
2016-01-07 17:50 |
随风的风 ( 普通白帽子 | Rank:205 漏洞数:72 | 微信公众号:233sec 不定期分享各种漏洞思...)
-
2016-01-07 17:54 |
带我玩 ( 路人 | Rank:14 漏洞数:7 | 带我玩)
-
2016-01-07 18:41 |
土夫子 ( 普通白帽子 | Rank:434 漏洞数:77 | 渗透白帽招生,一对一培训,有意私聊)
-
2016-01-07 18:48 |
Nelion ( 实习白帽子 | Rank:81 漏洞数:35 | 老实,腼腆,潜力股;不谈情,不说爱,只泡...)
-
2016-01-07 18:58 |
番茄师傅 ( 普通白帽子 | Rank:346 漏洞数:92 | http://www.tomatoyu.com/)
-
2016-01-07 19:21 |
Submit ( 普通白帽子 | Rank:526 漏洞数:118 | 我在乌云等你哟)
-
2016-01-07 19:36 |
evil ( 实习白帽子 | Rank:64 漏洞数:25 )
-
2016-01-07 19:39 |
无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)
-
2016-01-07 19:46 |
苏宸 ( 路人 | Rank:23 漏洞数:5 | 人生为棋 我愿为卒。行动虽慢 但谁曾见我后...)
-
2016-01-07 19:53 |
金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)
-
2016-01-07 19:55 |
狼牙月 ( 路人 | Rank:8 漏洞数:3 | 水不撩怎知深浅 人不拼怎知输赢)
此事件不为人知的秘密~~~~~~老马正在cf抱着火麒麟与小学生撕逼,忽然QQ响了,老马以为某个业务经理(女)给发发信息,然后切出cf一看,是一条挑衅信息,此时老马火冒三丈,切回游戏一看被战绩已经被负59,然后老马把小学生帐号封了180天....
-
2016-01-07 20:07 |
神话般的孩纸 ( 路人 | Rank:25 漏洞数:9 | 白帽子,互联网安全爱好者)
-
2016-01-07 20:20 |
采菇凉的小蘑菇 ( 路人 | Rank:4 漏洞数:2 | 孩子不哭 站起来撸)
-
2016-01-07 20:41 |
法官 ( 路人 | Rank:4 漏洞数:3 | Seven)
-
2016-01-07 20:42 |
枫子 ( 路人 | Rank:10 漏洞数:3 | 当你决定了方向,勇气可以带你走得更远。)
-
2016-01-07 20:49 |
sdc1992 ( 实习白帽子 | Rank:32 漏洞数:12 )
-
2016-01-07 21:03 |
少宇 ( 路人 | Rank:18 漏洞数:7 | 多看书,多实践,多泡妹子!!)
首先你要有个iPhone装逼,大家不要说话 听听马化腾怎么说
-
2016-01-07 22:11 |
小红猪 ( 普通白帽子 | Rank:285 漏洞数:48 | little red pig!)
-
2016-01-07 22:19 |
双腿间的颤抖 ( 路人 | Rank:2 漏洞数:2 | 你看不到我..你看不到我...)
-
2016-01-07 22:23 |
禽兽放开那妹子 ( 路人 | Rank:18 漏洞数:8 | 本屌就是传说中的天下第一帅逼)
-
2016-01-07 22:34 |
动后河 ( 实习白帽子 | Rank:57 漏洞数:16 | ☭)
-
2016-01-29 09:36 |
刘洪泽 ( 普通白帽子 | Rank:149 漏洞数:37 | 小时候不懂事,找过一个ddos工具,传言可以...)
马总很激动,让手下把洞主qq注销了........
-
2016-01-30 19:27 |
lanyan ( 路人 | Rank:1 漏洞数:1 | 求河北黑阔团队收留!)
-
2016-01-30 20:06 |
苏九儿 ( 路人 | Rank:8 漏洞数:3 | 看着你的现在,想起了我的从前。)
