漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-02824
漏洞标题:腾讯QQ相册存在任意查询相册漏洞
相关厂商:腾讯
漏洞作者: 臭小子
提交时间:2011-09-15 04:00
修复时间:2011-09-15 14:54
公开时间:2011-09-15 14:54
漏洞类型:网络设计缺陷/逻辑错误
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-09-15: 细节已通知厂商并且等待厂商处理中
2011-09-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
今天无意发现腾讯QQ相册存在任意查询.哈哈.
详细说明:
点击你的QQ空间相册,单击你的相册 属性.等到图片地址连接
比如:
第一:http://b71.photo.store.qq.com/psu?/593272d7-8334-4f0f-81dd-5f1237b9b751/urMY8X.IlGSeaO9v97Hpv2QJmI6S3p9pjHR4RlIV41A!/b/YXpoWSpmbAAAYrXkVypebQAA
这个地址 我们来把地址改成
http://b71.photo.store.qq.com/psu?/chouxiaozi/urMY8X.IlGSeaO9v97Hpv2QJmI6S3p9pjHR4RlIV41A!/b/YXpoWSpmbAAAYrXkVypebQAA 再打开是不是一样的啊
是一样的
我是把593272d7-8334-4f0f-81dd-5f1237b9b751 改成了chouxiaozi
第二:我们来任意查询相册
在单击别人的相册 属性.等到图片地址连接
http://b91.photo.store.qq.com/psu?/593272d7-8334-4f0f-81dd-5f1237b9b751/DUks9wEtblfotC4pB0VsEuvkDgsT5fq0hDNQ4HPv5eQ!/b/Yci5STa1GQAAYszNTDb8GQAA
我们来复制psu?/ 后面第二个/的数据
http://b71.photo.store.qq.com/psu?/chouxiaozi/这里加上你的数据
列样:
http://b71.photo.store.qq.com/psu?/chouxiaozi/DUks9wEtblfotC4pB0VsEuvkDgsT5fq0hDNQ4HPv5eQ!/b/Yci5STa1GQAAYszNTDb8GQAA
好了不多说了
漏洞证明:
修复方案:
版权声明:转载请注明来源 臭小子@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2011-09-15 14:54
厂商回复:
通过你的描述无法定位及确认漏洞,若确实有漏洞麻烦将更详细情况发邮箱到security@tencent.com
最新状态:
暂无