当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06187

漏洞标题:Qtalk任意用户QQ号查看

相关厂商:腾讯

漏洞作者: popok

提交时间:2012-04-18 19:29

修复时间:2012-06-02 19:30

公开时间:2012-06-02 19:30

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-04-18: 细节已通知厂商并且等待厂商处理中
2012-04-23: 厂商已经确认,细节仅向厂商公开
2012-05-03: 细节向核心白帽子及相关领域专家公开
2012-05-13: 细节向普通白帽子公开
2012-05-23: 细节向实习白帽子公开
2012-06-02: 细节向公众公开

简要描述:

Qtalk用户对应QQ号可以查看到

详细说明:

Qtalk中“发送私聊信息”和QQ号关联,可以使用内存修改工具查看设置“此用户设置不显示”的用户的QQ号。

漏洞证明:

进入一个房间,对那个女主持感兴趣。
开始操作:
1、随便找一个显示QQ号的用户(没有的话自己弄个小号)


2、双击此用户,切到私聊状态。
3、打开任意内存修改器(如Cheat Engine),搜索该用户QQ号:


4、随便双击其他用户,切到别的用户的私聊,数值改变的内存地址,就是要找的。
5、双击你感兴趣的女主持,即可得到他的QQ号,然后,看空间,加好友搭讪什么的随便你了。
友情提醒:一般声音甜美的,看完空间相册都会让你失望的。。。

修复方案:

Qtalk里私聊对应一个其他的uid,不要直接用QQ号。

版权声明:转载请注明来源 popok@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-04-23 09:39

厂商回复:

十分感谢你的报告

最新状态:

暂无