通过 QQ 客户端登录 Web 邮箱的身份认证漏洞

2017-06-12 12:04:44 +08:00

paicha

macOS 重现步骤：

打开 QQ，进入应用 tab，点击 QQ 邮箱，这时候会打开浏览器访问一个 HTTP 地址：

http://ptlogin2.qq.com/qqmail?Fun=clientlogin&clientuin=xxxx&clientkey=xxxx&ptlang=xx&keyindex=xx

在跳转到邮箱前，拷贝这个地址，退出 QQ 客户端，在 Chrome 隐身窗口打开上述地址，成功登录邮箱。

https://twitter.com/yurii_yu/status/873225250955120640

4812 次点击

所在节点

全球工单系统

28 条回复

Citrus

2017-06-12 12:06:59 +08:00

你这跟把 Cookie 复制出来说有登陆漏洞有啥本质区别？

paicha

2017-06-12 12:17:14 +08:00

@Citrus #1 那你会把 Cookie 编码在 URL 中吗？

2017-06-12 12:17:56 +08:00

几年前 Windows 上有过这个“漏洞”，后来腾讯修复了。
我觉得这个在一定程度上也可以算是漏洞，这个 url 应该是一次性的，第二次访问不能登录才对。

airycanon

2017-06-12 12:18:53 +08:00

@Citrus 不一样吧，他说的是退出 QQ 客户端之后，我的理解是用户已经注销了。

also24

2017-06-12 12:22:15 +08:00

一开始我觉得有 “ QQ 邮箱独立密码” 存在，不以为然。

直到自己测试了下，发现：
1、这个链接是 http 的
2、即使不输入独立密码，此时也已经在网页上登录了 QQ 帐号，可以访问其它业务（例如 qun.qq.com ）
3、不止邮箱，空间按钮也是这样的

这就相当的不安全了，去星巴克开个热点，分分钟一堆内部文件到手啊。

nikoo

2017-06-12 12:23:59 +08:00

好奇这个漏洞的解决方案是？（一次性 URL 授权访问也并不比这个好多少吧）

2017-06-12 12:24:31 +08:00

@also24 这个 idea 不错！正好星巴克 mac 多！

miyuki

2017-06-12 12:25:11 +08:00

说个有的没的

我记得如果 QQ 客户端获取的 IP 和浏览器的 IP 不一致会要求重新登录，比如浏览器挂了个代理，登录 QQ 邮箱就会要求重新输入帐户密码

mrjoel

2017-06-12 12:25:47 +08:00

原来是这样修复的，以前一个 sid 可几处同时登陆，现在只是加了两层 key

MrMario

2017-06-12 13:14:20 +08:00

腾讯的神 key，一个 key 可以登录大部分通用，这个问题存在很久了，搞劫持、小广告的很喜欢玩这个

前段时间试了下 key 有实效时间限制，没发现实效次数限制

anyclue

2017-06-12 13:21:58 +08:00

不明白这怎么就算个漏洞了，如果算的话这个漏洞怎么利用呢？

also24

2017-06-12 13:22:49 +08:00

@nikoo #6
如果保持当前把 key 写进 URL 的形式，那至少链接上 https 并启用 HSTS

另一方面目前 macQQ 明明通过内置 web server 直接支持了快捷登录： http://localhost.ptlogin2.qq.com:4300
那邮箱的验证按理来说也是可以走这个通道的。

KomeijiSatori

2017-06-12 13:25:56 +08:00

之前报过一个类似的,可是官方回复好像不太重视...

![深度截图 20170612132503.png]( https://ooo.0o0.ooo/2017/06/12/593e25c599050.png)

aksoft

2017-06-12 13:27:13 +08:00

我去开热点

makendk

2017-06-12 13:30:26 +08:00

@paicha 记得 09 年的时候就通过这样的方式看加密的 QQ 空间这不算漏洞吧腾讯好多从 QQ 面板上进入的业务都有这样的 KEY 以前好像是 sid

longr923

2017-06-12 13:56:02 +08:00

get ？？？

bombless

2017-06-12 14:00:27 +08:00

这个其实就和短信发验证码给你让你登陆差不多……
确实是系统的一个弱点，但是不是缺陷就不好说了

以前 2009 年左右曾经 qq 邮箱的超大附件不错，有一个管理超大附件的工具就用这个串来访问 qq 邮箱的接口

qile1

2017-06-12 14:01:32 +08:00

截取 key，web+登录空间发表广告及色情内容，在使用 web qq 群发病毒 app，我有个号就这样被搞过

doubleflower

2017-06-12 14:14:54 +08:00

@anyclue 明文 http 啊!分分钟被同网络别人搞到登入你的邮箱。。

580a388da131

2017-06-12 14:18:28 +08:00

这个有效期挺短的

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/367777

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.