QQ会员中的聊天记录漫游设计缺陷分析
本文章介绍一篇 关于QQ会员中的聊天记录漫游设计缺陷分析,有需要的同学可参考一下。 披露状态: 2012-05-08: 细节已通知厂商并且等待厂商处理中 厂商已经主动忽略漏洞,细节向公众
本文章介绍一篇 关于QQ会员中的聊天记录漫游设计缺陷分析,有需要的同学可参考一下。
披露状态:
2012-05-08: 细节已通知厂商并且等待厂商处理中
厂商已经主动忽略漏洞,细节向公众公开
简要描述:
在异地登录状态下,可以直接查看聊天记录
详细说明:
假如我现在在是本地看聊天记录。把号码让外地的朋友登录还是可以不需要验证密保的情况下查看!这样个人的隐私就公开了
漏洞证明:
漏洞就不需要证明了。你们工作人员随便哪一个号测试一下就知道了!
修复方案:
应该把所有QQ会员漫游记录都用独立密码进行二次加密!不管是不是常用地点登录都需要进行二次密码,第一次验证后 下次查看就不需要验证!电脑重启后需要再次验证 这样以保证用户个人信息的安全
精彩图集