漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2013-12-23: 细节已通知厂商并且等待厂商处理中
2013-12-25: 厂商已经确认,细节仅向厂商公开
2014-01-04: 细节向核心白帽子及相关领域专家公开
2014-01-14: 细节向普通白帽子公开
2014-01-24: 细节向实习白帽子公开
2014-02-06: 细节向公众公开
简要描述:
通过固定代码朋友网秒查QQ号。
详细说明:
通过提取朋友网特征码,再加上一串固定代码。既可以秒查出对方的QQ空间。那QQ号码自然被获知。犯罪分子如果通过朋友网获知对方的姓名,年龄,院校等,反查QQ号即可伪装成对方的好友骗取钱财等。
漏洞证明:
1,以这个哥们的朋友网为例,
http://profile.pengyou.com/index.php?mod=profile&u=c265e4bd629300c59516bde96823ed88a35407697a97c6d3&adtag=PROFILE_KR_VISITED
2,提取他的朋友网特征码:c265e4bd629300c59516bde96823ed88a35407697a97c6d3
3,固定代码(http://www.pengyou.com/index.php?mod=checkpri&act=qzone&u=)+特征码:http://www.pengyou.com/index.php?mod=checkpri&act=qzone&u=c265e4bd629300c59516bde96823ed88a35407697a97c6d3
4,既可以秒查出他的QQ空间:http://user.qzone.qq.com/895424048
就可以获知他的QQ号码。
问题严重性:犯罪分子如果通过朋友网获知对方的姓名,年龄,院校等,反查QQ号即可伪装成对方的好友骗取钱财等。
修复方案:
版权声明:转载请注明来源 起个什么名字比较拉风@乌云
>
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-12-25 16:43
厂商回复:
非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无