漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-050305
漏洞标题:我是如何利用腾讯邮件群发狂刷数百万粉丝的
相关厂商:腾讯
漏洞作者: okxss
提交时间:2014-02-06 11:45
修复时间:2014-02-10 11:31
公开时间:2014-02-10 11:31
漏洞类型:xss跨站脚本攻击
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-02-06: 细节已通知厂商并且等待厂商处理中
2014-02-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
众所周知,腾讯用户量巨大,而几乎90%以上的用户都开通了qq邮箱业务。由于腾讯邮箱对于xss的过滤不严导致本漏洞长期存在,自2011年到2013年,3年时间陆陆续续,利用此漏洞我刷了大量粉丝。
详细说明:
1.首先讲明漏洞代码。
在发邮件时点击文字格式=》html=》正文插入以下代码:
<div style="background:url(http://;e:expression(alert(document.cookie));">test</div>
发邮件给任何人,只要其看到邮件并恰好使用ie8以下版本浏览器都会中招。
分析该xss代码精要之处就在于背景图片地址被腾讯过滤忽略,我们巧妙的使用分好";"中断了地址,但是腾讯工程师却置之不理。。。。(暴汗。。。)
2.利用方式
这个简单了,就是那个万恶的qq信封,我们购买大量的信封qq,并挂打码平台,一天一台独立服务器可以发送出去100万以上的邮件。如果开十台呢?群发是很厉害的。
我们以前刷微博粉丝的时候,一天可以刷30万粉丝之多(现在封号严重,大家千万别模仿了,没用了,我都放弃了),不过空间粉丝就难刷了点,限制太多(貌似空间粉丝也没人要也封号,汗!!!)。
3.迫于无奈,并洗手不干灰色收入了,2014之春,举报此漏洞,以平良心,并祝愿腾讯越来越完善。
漏洞证明:
证明一:
证明二:
大家可以看到弹出了所谓的cookie,有了cookie你就可以干很多事了啊,例如刷粉丝,例如更猥琐的偷看别人私密邮件,冒充别人好友发信息。。。(靠,越说越下贱。。。,其实俺是正人君子,今天就开始改邪归正了,特地来自首了,给2014一个阳光的春天开始。。。)
修复方案:
修复把,过滤吧。腾讯工程师一直是俺膜拜的神,你们懂得。
版权声明:转载请注明来源 okxss@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-02-10 11:31
厂商回复:
非常感谢您的报告,经评估该问题并不存在,同时,我们尝试联系了报告者确认细节,但报告者一直未回复,故此忽略。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无