当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0172640

漏洞标题:钓鱼网站钓取大量QQ帐号密码被泄露钓鱼受害者每天过万(某先前被腾讯忽略的报告)

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2016-01-25 17:45

修复时间:2016-03-10 16:42

公开时间:2016-03-10 16:42

漏洞类型:网络敏感信息泄漏

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-25: 细节已通知厂商并且等待厂商处理中
2016-01-25: 厂商已经确认,细节仅向厂商公开
2016-02-04: 细节向核心白帽子及相关领域专家公开
2016-02-14: 细节向普通白帽子公开
2016-02-24: 细节向实习白帽子公开
2016-03-10: 细节向公众公开

简要描述:

昨天QQ空间收到了一个评论,说有聚会照还没查看...于是一段神奇之路就开启了...

详细说明:

网站是用的lol.qq.com+s.q.qq.com 做的跳转

222.png


点开跳到了http://coehm.pw

666555.png


插了XSS,一会就收到了信息...
进入后台看了下,量很大,每小时最少有1500+ 估计每天2-3W.

漏洞证明:

9999.png


尝试登录了2个号,

6666555555.png


777.png

修复方案:

跳转那个修复一下, 另把http://coehm.pw 列入黑名单!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2016-01-25 18:19

厂商回复:

非常感谢您的报告,此问题已经通过其它渠道得知,目前我们正在处理中,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-25 17:47 | 浩天 认证白帽子 ( 核心白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    呵呵,总说没影响,呵呵

  2. 2016-01-25 18:01 | 莫里 ( 普通白帽子 | Rank:155 漏洞数:52 | )

    @浩天 这句话不是你说的最多吗?

  3. 2016-01-25 18:02 | q601333824 ( 普通白帽子 | Rank:269 漏洞数:56 | 出自《狐妖小红娘》---自古人妖生死恋,千...)

    看过一个新闻,一个老头,钱被骗,报警没人管,最后上吊自杀了,警察说可以立案了,一个道理

  4. 2016-01-25 18:38 | 暴走 ( 普通白帽子 | Rank:518 漏洞数:96 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    直接忽略算了,何必让洞主难堪呢!

  5. 2016-01-25 18:50 | 少宇 ( 路人 | Rank:22 漏洞数:10 | QQ :1126179674 By : 少宇)

    白帽子辛辛苦苦挖洞,扔1rank是什么意思?

  6. 2016-01-25 19:50 | 随风的风 ( 普通白帽子 | Rank:219 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    @莫里 呵呵,asrc是谁提交了,又跑wooyun提交,受不了,我们这边都认识了,哈哈。。跑私有src提交,又跑漏洞平台提交,也是佩服你哦。

  7. 2016-01-25 20:36 | 土狗哥 ( 路人 | Rank:2 漏洞数:1 | 初生狗犊,乱咬人)

    叼都不叼你

  8. 2016-01-26 08:14 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    直接忽略算了,何必让洞主难堪呢!

  9. 2016-01-26 09:45 | an0nym0u5 ( 普通白帽子 | Rank:318 漏洞数:50 )

    围观

  10. 2016-01-26 13:26 | 拒绝诱惑 ( 路人 | Rank:1 漏洞数:1 | 谁也不认识我..安安静静~)

    http://coehm.pw/xiamenzhanshen-haoyou/

  11. 2016-01-27 00:23 | Busliv ( 普通白帽子 | Rank:179 漏洞数:20 | to be,and to be)

    http://coehm.pw/xiamenzhanshen-haoyou/isee.asp

  12. 2016-01-29 20:18 | 莫里 ( 普通白帽子 | Rank:155 漏洞数:52 | )

    @随风的风 啥?阿里巴巴那个xss吗,额,你看一下时间,我是在乌云提交了先,然后乌云不审核,之后我提交了支付宝那个才知道asrc,然后就扔asrc了,你好像是阿里巴巴的人,你可以看一下我在asrc的记录,我是提交到asrc,让asrc去认领乌云的漏洞,可以截图给你看,你认为我图什么呢...

  13. 2016-01-29 20:19 | 莫里 ( 普通白帽子 | Rank:155 漏洞数:52 | )

    @随风的风 这个洞的路人甲不是我喔,你是不是搞错了...

  14. 2016-01-29 20:30 | 随风的风 ( 普通白帽子 | Rank:219 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    @莫里 以后丢了漏洞平台就不要丢私有src,丢了私有src就不要丢漏洞平台了。谢谢

  15. 2016-01-29 21:06 | 莫里 ( 普通白帽子 | Rank:155 漏洞数:52 | )

    @随风的风 你知道前因后果的,你也没必要特地跑过来骂我吧...

  16. 2016-01-29 21:08 | 莫里 ( 普通白帽子 | Rank:155 漏洞数:52 | )

    @随风的风 阿里巴巴的人真小气,asrc的东西清空掉别,你以为我图啥?

  17. 2016-01-29 21:44 | 随风的风 ( 普通白帽子 | Rank:219 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    @莫里 我可没骂你哦。。。还有,我并不是特意过来说你,只是跟你沟通而已。祝好