[公开漏洞]腾讯单点登陆clientkey缺陷已经黑产化工具化

腾讯单点登陆clientkey缺陷已经黑产化工具化 相关厂商： 腾讯 漏洞作者：路人甲 提交时间：2014-05-05 19:24 公开时间：2014-05-06 10:12 漏洞类型：成功的入侵事件 危害等级：高 自评Rank：20 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-05-05：细节已通知厂商并且等待厂商处理中
2014-05-06：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

腾讯单点登陆clientkey缺陷已经黑产化工具化

详细说明：

qq快速登陆中有这样的一个clientkey

在某个论坛里发现的QQshell的完整客户端，

填入获取的qqnumber和clientkey后

qq下线后，用获取到的qq账号和cleintkey不能登陆。

qq下线后再次上线，用第一次得到clientkey依然可以登录！！！（此时的clientkey已经和第一次的clientkey不一样了）

恶作剧可以把生成的木马捆绑到礼物发给你的女神，然后就没有然后了，哎。

看看明天利用第一次获取的clientkey是否还能登陆，泪奔~

PS：正在央求小伙伴取消我传给他的clientkey，异地登陆也照样能提权登陆。

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-05-06 10:12

厂商回复：

非常感谢您的反馈，经过评估，该木马问题不属于安全漏洞。如果您有任何的疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无