大企鹅家族又添新域名了(换了新的域名好像又回到了原始社会)

漏洞概要

缺陷编号:WooYun-2012-06047

漏洞标题:大企鹅家族又添新域名了(换了新的域名好像又回到了原始社会)

相关厂商:腾讯

漏洞作者:禽兽大叔

提交时间:2012-04-14 16:37

公开时间:2012-04-16 10:27

漏洞类型:钓鱼欺诈信息

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-04-14: 细节已通知厂商并且等待厂商处理中
2012-04-14: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-04-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ空间对外跳转URL由qq.com子域名跟改为新的独立域名换了是不错,但是风险又回来了囧~

详细说明:

QQ空间对外网址跳转由http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_urlcheck?url=更换为:http://www.zjump.cn/cgi-bin/qzshare/cgi_qzshare_urlcheck?appid=503&rappid=2&url=启用了独立域名,可是 - -。 换了药汤缺失效了简单比对QQ.COM子域名:XXX.qzone.qq.comhttp://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_urlcheck?url=http%3A%2F%2Flocalhost:3000%2F新启用独立域名:www.zjump.cnhttp://www.zjump.cn/cgi-bin/qzshare/cgi_qzshare_urlcheck?appid=503&rappid=2&url=http%3A%2F%2Flocalhost:3000%2F我们可以发现什么? 先前的有明确提示 之后的无任何提示选择洞的类型没有选择URL跳转是因为此类危害超过了URL跳转跳转没有了提示会使用户产生误导 以为是官方或安全的链接呢带来的风险大大的 以下危害容易再次发生WooYun: 利用QQ空间钓鱼,腾讯URL审核不严(严重影响被钓鱼用户身心)WooYun: 腾讯QQ空间审核不严,造成大规模钓鱼事件,严重影响我们生意还有其他类的我就不多说了 行语说一句:因为可以跳出去 所以就会有风险

漏洞证明:

QQ空间对外网址跳转由http://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_urlcheck?url=更换为:http://www.zjump.cn/cgi-bin/qzshare/cgi_qzshare_urlcheck?appid=503&rappid=2&url=启用了独立域名,可是 - -。 换了药汤缺失效了简单比对QQ.COM子域名:XXX.qzone.qq.comhttp://sns.qzone.qq.com/cgi-bin/qzshare/cgi_qzshare_urlcheck?url=http%3A%2F%2Flocalhost:3000%2F新启用独立域名:www.zjump.cnhttp://www.zjump.cn/cgi-bin/qzshare/cgi_qzshare_urlcheck?appid=503&rappid=2&url=http%3A%2F%2Flocalhost:3000%2F我们可以发现什么? 先前的有明确提示 之后的无任何提示选择洞的类型没有选择URL跳转是因为此类危害超过了URL跳转跳转没有了提示会使用户产生误导 以为是官方或安全的链接呢带来的风险大大的 以下危害容易再次发生WooYun: 利用QQ空间钓鱼,腾讯URL审核不严(严重影响被钓鱼用户身心)WooYun: 腾讯QQ空间审核不严,造成大规模钓鱼事件,严重影响我们生意还有其他类的我就不多说了 行语说一句:因为可以跳出去 所以就会有风险

修复方案:

你们最擅长

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-16 10:27

厂商回复:

非常感谢您的报告,但我们不认为这是一个安全问题。1、有过滤,并非所有目标URL都可以跳转。
2、IM中已做处理,不会给官方标识。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    关注变复数了?

  2. 2010-01-01 00:00 三叶草 白帽子 | Rank:14 漏洞数:5)

    要的rank真高..估计企鹅能给你一半,然后说,这个我们已经考虑到了,正在修改ing

  3. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    (~ o ~)~zZ 因为风险大嘛 要的多点咯

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @禽兽大叔 你这样的评分是我们要打击的对象

  5. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @禽兽大叔 别人服务器都拿下了才得个15,10.... 一个url跳转可以20?

  6. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @xsser 这个评分时我站在坏人角度上给的,坦白说我利用过QQ空间所带来的危害我是最清楚的,我得到了利润,而损失的是用户。大企鹅我早已弃恶从善了,不要对我跨省啊。

  7. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @xsser 这不单只是一个URL的跳转,它包含了大量的业务风险。早些年年轻的时候钓鱼就是利用QQ空间。

  8. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @禽兽大叔 嗯 我觉得大量业务的风险不在于url跳转,而在于对类似业务风险的控制,它不是由于url跳转带来的一个技术问题,url跳转不是核心因素

  9. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @xsser 也是,之前已经做的很好了但是换了域名以后之前的那些机制已经全没了,大企鹅你随便给点分吧。去研究QQmail先,现在QQ钓鱼的根源在mail。(~ o ~)~zZ 多多提交 多赚Rank 多做好人以弥补我曾今犯下的错 - -.

  10. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @禽兽大叔 根源是企鹅的超级大的用户量啊

  11. 2010-01-01 00:00 Hxai11 白帽子 | Rank:970 漏洞数:147)

    @xsser 如果是url跳转,tx能给你个5分就不错了

  12. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @xsser 是啊,企鹅已经走进了千家亿户,林子大了神马鸟都有,还有我这只禽兽 - -。 强大的用户量背后不知道隐藏了多少的黑手。

  13. 2010-01-01 00:00 Hxai11 白帽子 | Rank:970 漏洞数:147)

    @禽兽大叔 中国黑阔牛逼的大把大把的,不奇怪,很可能都有人已经拥有了tx的sjk,未知的情况太多了,个人感觉中国黑阔能排在世界前五名之内

  14. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @Hxai11 其实大企鹅这些年大企鹅做的蛮好的,10000这个号这几年没听说被别人上过,听讲早些年这号给一童鞋骑过,最近网上爆了那么多库,也没见爆过企鹅的保险库啊。

  15. 2010-01-01 00:00 blue 白帽子 | Rank:600 漏洞数:65)

    20分...

  16. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @blue 好神奇,几个月没上线了的吧? 哈哈

  17. 2010-01-01 00:00 顺子 白帽子 | Rank:216 漏洞数:35)

    @禽兽大叔 jhackj

  18. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @禽兽大叔 脱大企鹅的库在发给他是王道,那样就能得20分了

  19. 2010-01-01 00:00 禽兽大叔 白帽子 | Rank:78 漏洞数:22)

    @darksn0w 大企鹅皮太厚 我的功力连毛都拔不掉。囧 - -。

  20. 2010-01-01 00:00 少帅 白帽子 | Rank:49 漏洞数:14)

    又火了。!!哈哈哈

  21. 2010-01-01 00:00 Hxai11 白帽子 | Rank:970 漏洞数:147)

    @darksn0w 之后警察叔叔就到你家了:-)