赠送qq业务后回复卡片可以无限发送

漏洞概要

缺陷编号:WooYun-2014-054486

漏洞标题:赠送qq业务后回复卡片可以无限发送

相关厂商:腾讯

漏洞作者:小表哥

提交时间:2014-03-24 17:17

公开时间:2014-05-08 17:18

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-03-24: 细节已通知厂商并且等待厂商处理中
2014-03-25: 厂商已经确认,细节仅向厂商公开
2014-04-04: 细节向核心白帽子及相关领域专家公开
2014-04-14: 细节向普通白帽子公开
2014-04-24: 细节向实习白帽子公开
2014-05-08: 细节向公众公开

简要描述:

在向好友赠送qq秀之后,好友收到一个卡片,可以填上东西回复,对面如果登陆qq会弹窗提示,但是刷新这个卡片后还可以继续发送,对面还是继续弹窗,无限制次数。即使下线,再次上线还会把上次所有的弹窗全部弹出来。

详细说明:

回复页面,点击后刷新,还可以继续回复,无任何限制。对面会以消息提示不停弹窗,即使不在线也照单全收。这个问题早在2011年就发现了,但是利用价值不大,仅仅是骚扰而已,但是既然送鲜花的做了限制,这个应该是疏忽了,没有限制。

漏洞证明:

回复页面,点击后刷新,还可以继续回复,无任何限制。对面会以消息提示不停弹窗,即使不在线也照单全收。

修复方案:

加上限制,这个应该是疏忽了,送鲜花的就没这个问题

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-03-2512:14

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

评价