当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017248

漏洞标题:QQ各业务动态密码绕过

相关厂商:腾讯

漏洞作者: 饮恨

提交时间:2013-01-12 20:39

修复时间:2013-01-16 16:54

公开时间:2013-01-16 16:54

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-12: 细节已通知厂商并且等待厂商处理中
2013-01-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。

详细说明:

QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。
因为window 8的出现,我就去尝试下了window 8. 发现win8存在着一个新的功能--应用商店。我们可以从应用商店里安装QQ.然后,我便惊奇的发现.使用应用商店里安装的QQ是不需要验证动态密码的,我想这个设计是由于考虑到win8在平板上的应用。估计是归类为手机QQ一类的应用。所以便不加动态密码的验证。但是 Win8也是用在笔记本上的- -! 然后我们就可以直接登录跳过动态密码验证。但是如果直接在win8里的IE打开mail是没法直接绕过的。这时候,我们只需要在QQ页面上右击

1.jpg


提交反馈。得到这个登录状态,这时候跳出应用商店里的IE 然后直接新建个页面,输入mail.qq.com便可绕过动态密码的验证。同样的QQ空间和QQ各个web登录的需要输入动态密码的业务都是如此.
Last.这个属于设计缺陷,和手机邮箱进入web邮箱的类型我觉得差不多的.至于这个缺陷是不是产品特性就见仁见智了. :)
各位大大您说是吗?

漏洞证明:

QQ存在一个手机令牌,在许多web服务上需要验证手机令牌的动态密码,但存在一定缺陷可以绕过。
因为window 8的出现,我就去尝试下了window 8. 发现win8存在着一个新的功能--应用商店。我们可以从应用商店里安装QQ.然后,我便惊奇的发现.使用应用商店里安装的QQ是不需要验证动态密码的,我想这个设计是由于考虑到win8在平板上的应用。估计是归类为手机QQ一类的应用。所以便不加动态密码的验证。但是 Win8也是用在笔记本上的- -! 然后我们就可以直接登录跳过动态密码验证。但是如果直接在win8里的IE打开mail是没法直接绕过的。这时候,我们只需要在QQ页面上右击

1.jpg


提交反馈。得到这个登录状态,这时候跳出应用商店里的IE 然后直接新建个页面,输入mail.qq.com便可绕过动态密码的验证。同样的QQ空间和QQ各个web登录的需要输入动态密码的业务都是如此.
Last.这个属于设计缺陷,和手机邮箱进入web邮箱的类型我觉得差不多的.至于这个缺陷是不是产品特性就见仁见智了. :)
各位大大您说是吗?

修复方案:

您们比较懂~~

版权声明:转载请注明来源 饮恨@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-16 16:54

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

2013-01-16:

2013-01-16:此漏洞我们处理的时候是确认,给5分,但不知道为何被忽略。原因还在跟wooyun官方调查。对于这个漏洞,非常感谢报告者,业务部门已在测试临时的方案,16、17号实施。会禁止设置密保的用户登录win8版QQ,待密保登录功能完善后再开放。