当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2011-02824
漏洞标题:
腾讯QQ相册存在任意查询相册漏洞
相关厂商:
腾讯
漏洞作者:
臭小子
提交时间:
2011-09-15 04:00
修复时间:
2011-09-15 14:54
公开时间:
2011-09-15 14:54
漏洞类型:
网络设计缺陷/逻辑错误
危害等级:
自评Rank:
5
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2011-09-15: 细节已通知厂商并且等待厂商处理中
2011-09-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天无意发现腾讯QQ相册存在任意查询.哈哈.

详细说明:

点击你的QQ空间相册,单击你的相册 属性.等到图片地址连接
比如:
第一:http://b71.photo.store.qq.com/psu?/593272d7-8334-4f0f-81dd-5f1237b9b751/urMY8X.IlGSeaO9v97Hpv2QJmI6S3p9pjHR4RlIV41A!/b/YXpoWSpmbAAAYrXkVypebQAA
这个地址 我们来把地址改成
http://b71.photo.store.qq.com/psu?/chouxiaozi/urMY8X.IlGSeaO9v97Hpv2QJmI6S3p9pjHR4RlIV41A!/b/YXpoWSpmbAAAYrXkVypebQAA 再打开是不是一样的啊
是一样的
我是把593272d7-8334-4f0f-81dd-5f1237b9b751 改成了chouxiaozi
第二:我们来任意查询相册
在单击别人的相册 属性.等到图片地址连接
http://b91.photo.store.qq.com/psu?/593272d7-8334-4f0f-81dd-5f1237b9b751/DUks9wEtblfotC4pB0VsEuvkDgsT5fq0hDNQ4HPv5eQ!/b/Yci5STa1GQAAYszNTDb8GQAA
我们来复制psu?/ 后面第二个/的数据
http://b71.photo.store.qq.com/psu?/chouxiaozi/这里加上你的数据
列样:
http://b71.photo.store.qq.com/psu?/chouxiaozi/DUks9wEtblfotC4pB0VsEuvkDgsT5fq0hDNQ4HPv5eQ!/b/Yci5STa1GQAAYszNTDb8GQAA
好了不多说了

漏洞证明:


修复方案:

版权声明:转载请注明来源 臭小子@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-09-15 14:54

厂商回复:

通过你的描述无法定位及确认漏洞,若确实有漏洞麻烦将更详细情况发邮箱到security@tencent.com

最新状态:

暂无