Qtalk任意用户QQ号查看

漏洞概要

缺陷编号:WooYun-2012-06187

漏洞标题:Qtalk任意用户QQ号查看

相关厂商:腾讯

漏洞作者:popok

提交时间:2012-04-18 19:29

公开时间:2012-06-02 19:30

漏洞类型:敏感信息泄露

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-18: 细节已通知厂商并且等待厂商处理中
2012-04-23: 厂商已经确认,细节仅向厂商公开
2012-05-03: 细节向核心白帽子及相关领域专家公开
2012-05-13: 细节向普通白帽子公开
2012-05-23: 细节向实习白帽子公开
2012-06-02: 细节向公众公开

简要描述:

Qtalk用户对应QQ号可以查看到

详细说明:

Qtalk中“发送私聊信息”和QQ号关联,可以使用内存修改工具查看设置“此用户设置不显示”的用户的QQ号。

漏洞证明:

进入一个房间,对那个女主持感兴趣。开始操作:1、随便找一个显示QQ号的用户(没有的话自己弄个小号)

2、双击此用户,切到私聊状态。3、打开任意内存修改器(如Cheat Engine),搜索该用户QQ号:

4、随便双击其他用户,切到别的用户的私聊,数值改变的内存地址,就是要找的。5、双击你感兴趣的女主持,即可得到他的QQ号,然后,看空间,加好友搭讪什么的随便你了。友情提醒:一般声音甜美的,看完空间相册都会让你失望的。。。

修复方案:

Qtalk里私聊对应一个其他的uid,不要直接用QQ号。

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-04-23 09:39

厂商回复:

十分感谢你的报告

最新状态:

暂无

评价

  1. 2010-01-01 00:00 啤酒 白帽子 | Rank:62 漏洞数:8)

    呃!妹纸们就这样被你交了..

  2. 2010-01-01 00:00 Lost 白帽子 | Rank:2 漏洞数:1)

    楼主你用这楼的邪恶了没?

  3. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    1看1楼就是用QQtalk泡MZ!

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @gainover qtalk可以泡妹纸?

  5. 2010-01-01 00:00 123luckydog 白帽子 | Rank:3 漏洞数:4)

    看看有没有人会提交QQ圈子?……

  6. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @xsser 现在QQ为了推广QQ talk,很多自己的游戏做活动什么的吧,所以QQ上就有不少耍游戏的妹子就会去用QQ talk咯~

  7. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @gainover 都是互联网达人啊......

  8. 2010-01-01 00:00 Errorera 白帽子 | Rank:112 漏洞数:21)

    貌似真可以也。

  9. 2010-01-01 00:00 啤酒 白帽子 | Rank:62 漏洞数:8)

    @gainover n早以前妹纸们都用QQ talk k歌。可惜鸟看不到Q号加不上。像则种造福于民的洞多几个就好了。

  10. 2010-01-01 00:00 popok 白帽子 | Rank:82 漏洞数:19)

    @啤酒 加了会后悔,还是继续听着声音YY吧。

  11. 2010-01-01 00:00 123luckydog 白帽子 | Rank:3 漏洞数:4)

    屌丝又失去机会了……

  12. 2010-01-01 00:00 小帽子 白帽子 | Rank:4 漏洞数:2)

    腾讯还有像YY的东西?以前没用过啊 头一次听说

  13. 2010-01-01 00:00 Say 白帽子 | Rank:17 漏洞数:4)

    屌丝又失去机会了+1 默泪

  14. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    等我搞清楚这个做什么用的时候,似乎补了