漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-046824
漏洞标题:通过代码朋友网可秒查QQ号
相关厂商:腾讯
漏洞作者: 起个什么名字比较拉风
提交时间:2013-12-23 18:19
修复时间:2014-02-06 18:20
公开时间:2014-02-06 18:20
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-12-23: 细节已通知厂商并且等待厂商处理中
2013-12-25: 厂商已经确认,细节仅向厂商公开
2014-01-04: 细节向核心白帽子及相关领域专家公开
2014-01-14: 细节向普通白帽子公开
2014-01-24: 细节向实习白帽子公开
2014-02-06: 细节向公众公开
简要描述:
通过固定代码朋友网秒查QQ号。
详细说明:
通过提取朋友网特征码,再加上一串固定代码。既可以秒查出对方的QQ空间。那QQ号码自然被获知。犯罪分子如果通过朋友网获知对方的姓名,年龄,院校等,反查QQ号即可伪装成对方的好友骗取钱财等。
漏洞证明:
1,以这个哥们的朋友网为例,
http://profile.pengyou.com/index.php?mod=profile&u=c265e4bd629300c59516bde96823ed88a35407697a97c6d3&adtag=PROFILE_KR_VISITED
2,提取他的朋友网特征码:c265e4bd629300c59516bde96823ed88a35407697a97c6d3
3,固定代码(http://www.pengyou.com/index.php?mod=checkpri&act=qzone&u=)+特征码:http://www.pengyou.com/index.php?mod=checkpri&act=qzone&u=c265e4bd629300c59516bde96823ed88a35407697a97c6d3
4,既可以秒查出他的QQ空间:http://user.qzone.qq.com/895424048
就可以获知他的QQ号码。
问题严重性:犯罪分子如果通过朋友网获知对方的姓名,年龄,院校等,反查QQ号即可伪装成对方的好友骗取钱财等。
修复方案:
版权声明:转载请注明来源 起个什么名字比较拉风@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-12-25 16:43
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无