我們來自五湖四海,不為別的,只因有共同的愛好,為中國互聯網發展出一分力!

騰訊郵箱文件夾區域加鎖密碼認證漏洞,機密郵件瞬間泄漏

2013年02月20日23:23 閱讀: 20742 次

漏洞概要 

漏洞標題:騰訊郵箱文件夾區域加鎖密碼認證漏洞

漏洞作者: 藍盟尕豬  藍客聯盟

公開時間: 2013-02-21

危害等級: 高

漏洞狀態: 未聯系到廠商或者廠商積極忽略

漏洞來源: http://www.abjvsv.live  http://club.chnlanker.com

漏洞描述

騰訊郵箱是用戶量非常龐大的郵箱之一。今日本人無意中發現了騰訊郵箱文件夾區域加鎖密碼權限驗證因設計疏忽導致用戶的隱密郵件泄漏:

假設兩人先后在異地同時登錄郵箱,其中一人擁有“文件夾區域加鎖密碼”并進入郵件列表,而此時另一人即可無須密碼便順利進入加鎖后的郵件列表并查看郵件內容



漏洞后果:

經過反復測試發現問題根本是騰訊郵箱認證方式出現嚴重的BUG造成的,這個問題看似不是大問題!可是在“特殊人物” “特殊行業”來說就是一個致命的大問題!
現在電子郵箱所涉及到的包括銀行,公司,機密文件,以及個人隱私文件,都存在于郵箱當中。

如果被“特殊目的”的人利用這個BUG 的話會造成難以想象的個人隱私泄漏。

附加本人今天就已經個人隱私泄漏了。

 

修補方案:

使用客戶端與服務器端雙重認證。

分享到: 更多
藍客門戶
©2001-2019 中國藍客聯盟 版權所有.
關于藍客聯盟歷史宗旨章程技術服務聯系我們藍客社區

女校剑道部闯关